Cobalt Strike域前置反溯源

admin 2024年10月7日18:13:59评论16 views字数 1570阅读5分14秒阅读模式

域前置(英语:Domain fronting)

又译为域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。

准备工作:

  • 腾讯云、阿里云之类的VPS

  • 域名

Ps:

    问:为什么不能用腾讯云和阿里云之类的VPS呢?
    答:如需要绑定域名,那就必须得备案!

    问:如何获取非腾讯云、阿里云之类的VPS?

    答:因为我买过    非广告(https://www.zhaomu.com)

    问:那我有了Vps,域名怎么办?

    答:因为我买过    非广告(https://account.godaddy.com/)

    问:买完域名之后还需要做什么?

    答:将购买域名的托管转到(https://dash.cloudflare.com/)

                      OK,问题回答完毕!!!

          大家可以先去准备这些前期需要的东西

按照我的理解,我画了两张图片,以供大家参考:

正常的数据包走向

Cobalt Strike域前置反溯源

域前置的数据包走向

Cobalt Strike域前置反溯源

确当真的准备好了吗?那就开始!!!

 cloudflare操作:

1.添加站点

Cobalt Strike域前置反溯源

2.填写你购买的域名    

Cobalt Strike域前置反溯源

3.选择免费的套餐

Cobalt Strike域前置反溯源

4.上一步完成之后往s里等,等出这个界面就继续操作,填写完成之后,点击保存后在点继续!!!

Cobalt Strike域前置反溯源

5.将cloudflare提供的服务器填入godaddy中,到这一步就换到godaddy

Cobalt Strike域前置反溯源

 godaddy操作:

1.网域

Cobalt Strike域前置反溯源

2.管理DNS

Cobalt Strike域前置反溯源

3.名称服务器

Cobalt Strike域前置反溯源

4.填入刚刚提供的cloudflare域名服务器

Cobalt Strike域前置反溯源

godaddy就不用管了,已经将购买的域名托管给cloudflare了

 cloudflare操作:

1.全部关闭后点击完成    

Cobalt Strike域前置反溯源

从godaddy转到cloudflare需要一点时间,继续等待

Cobalt Strike域前置反溯源等待期间可以用多地ping来看你的域名是否解析成功

(https://ping.chinaz.com)

Cobalt Strike域前置反溯源因为之前我测试的原因,绑定了127.0.0.1的ip,所以出现的这个问题

不过不用担心,后续就会全部变成解析服务器的ip了

多地ping能解析之后,返回cloudflare刷新一下页面,提示以下表示完成

Cobalt Strike域前置反溯源

2.选择完全

Cobalt Strike域前置反溯源

3.开启这两个按钮

Cobalt Strike域前置反溯源

4.创建证书将其命名为:server.pem和server.key(保持至本地)

Cobalt Strike域前置反溯源

Cobalt Strike域前置反溯源

Cobalt_Strike操作:

1.将文件放置linux系统与CS同目录

Cobalt Strike域前置反溯源

2.输入以下代码,会多一个cs.store文件

openssl pkcs12 -export -in server.pem -inkey server.key -out spoofdomain.p12 -name 域名 -passout pass:密码

keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore cs.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass 密码 -alias 域名

Cobalt Strike域前置反溯源

3.修改profile

(https://github.com/threatexpress/malleable-c2)

根据自己需要下载对应版本,我的cs是4.5的所以我使用jquery-c2.4.5.profile

下载到本地之后,需要修改一些配置

Cobalt Strike域前置反溯源

Cobalt Strike域前置反溯源

4.修改teamserver文件,对照之前输入的命令进行修改

Cobalt Strike域前置反溯源

5.启动cs服务端

./teamserver vps 密码 ./jquery-c2.4.5.profile

6.生成监听器和payload

Cobalt Strike域前置反溯源

找到:Scripted Web Delivery (S)

Cobalt Strike域前置反溯源

接下来就差上线了  自己看着办吧,上线就教不了了!!!

Cobalt Strike域前置反溯源

Cobalt Strike域前置反溯源

原文始发于微信公众号(零攻防):Cobalt Strike域前置反溯源

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日18:13:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cobalt Strike域前置反溯源https://cn-sec.com/archives/2471615.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息