在不少的攻防演练中,许多人都会使用CDN来隐藏真实的主机地址来防止溯源,需要攻击者自行购买带有公网IP的主机以及域名,一旦被发现真实IP地址和域名并被类似微步这样的威胁情报标记,就不得不放弃使用该主机以及域名,造成资源浪费。以下内容将演示零成本隐藏CobaltStrike主机,仅供技术研究与授权测试,请勿用于非法用途。
演示环境
- Kali-Linux-2021.2
- Windows 10 专业版 21H1(靶机)
工具清单
- cloudflared(基于cloudflare的内网穿透工具)
- ding(基于钉钉的内网穿透工具)
- cobaltstrike 4.3
运行teamserver
./cloudflared tunnel --url http://127.0.0.1:44444
ding
<pre class=" language-bash" style="box-sizing: border-box; border-left: none; border-right: none; padding: 0.5em; overflow: auto; background-color: rgb(243, 243, 243); font-family: Consolas, Monaco, " andale="" mono",="" "ubuntu="" monospace;="" word-spacing:="" normal;="" word-break:="" overflow-wrap:="" line-height:="" 1.5;="" tab-size:="" 4;="" hyphens:="" none;"="">./ding -config=./ding.cfg -subdomain=kfire 44444
配置监听器
接下来的内容以cloudflared为例,使用ding大同小异。
- 获取CDN使用的IP
![CobaltStrike主机隐藏教程之穷逼版]( "CobaltStrike主机隐藏教程之穷逼版")
- 配置监听器
![CobaltStrike主机隐藏教程之穷逼版]( "CobaltStrike主机隐藏教程之穷逼版")
测试上线
- 生成后门
![CobaltStrike主机隐藏教程之穷逼版]( "CobaltStrike主机隐藏教程之穷逼版")
- 上线成功
![CobaltStrike主机隐藏教程之穷逼版]( "CobaltStrike主机隐藏教程之穷逼版")
主机隐藏测试
通过微步云沙箱检测,完美的隐藏了CS主机的真实IP。
原文始发于微信公众号(字节脉搏实验室):CobaltStrike主机隐藏教程之穷逼版
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论