最新刚发布完CobaltStrike 4.9.1 二开免杀,内部群里师傅说我的公网IP被微步标红了,有的时候CS服务器还会上线一些国外的IP,公网IP标红的弊端就是无论你的程序多么免杀,只要识别到目的IP是恶意的公网IP就会报毒(仅是本人看法,之前一份免杀的源代码,创建了2个IP的程序,一个报毒、另一个没问题),因此有了以下教程,来避免泄露真实IP,以及规避外网CS探测扫描。
打开腾讯云内容分发网络(CDN),点击“域名管理”中的“添加域名”
2.加速域名 填写你的实际域名,源站地址填写你的公网nginx侦听IP以及端口。回源地址选择默认。
3.推荐配置选择全部不缓存,其余的三个模块全部默认即可。
4.前往的你的实际域名管理控制台添加CNAME解析记录。添加完成后,过几分钟点击验证CANME状态。然后点击完成,即可完成腾讯云全部配置。
这里推荐使用宝塔配置,因为CS有的时候会侦听许多端口,命令行配置会很繁琐:
宝塔安装命令:
wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh安装完成登录到宝塔管理地址:选择配置推荐一,安装配置。然后在PHP项目下点击“添加站点”新增网站。添加一个由腾讯云CNAME域名的站点,,PHP版本选择“纯静态”。
3.添加完成后修改该网站的配置为以下文件内容(xxx的地方需要自行替换):此nginx配置文件内容对应星球内部的zoom.profile文件,服务端启动时要指定此文件.
./teamserver 192.168.1.1 123456 zoom.profile server{listen 80;server_name test.xxxxx.cdn.dnsv1.com;index index.php index.html index.htm default.php default.htm default.html;root /www/wwwroot/test.xxxx.cdn.dnsv1.com;#CERT-APPLY-CHECK--START# 用于SSL证书申请时的文件验证相关配置 -- 请勿删除include /www/server/panel/vhost/nginx/well-known/test.xxxxx.cdn.dnsv1.com.conf;#CERT-APPLY-CHECK--END#SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则#error_page 404/404.html;#SSL-END#ERROR-PAGE-START 错误页配置,可以注释、删除或修改error_page 404 /404.html;#error_page 502 /502.html;#ERROR-PAGE-END#PHP-INFO-START PHP引用配置,可以注释或修改include enable-php-00.conf;#PHP-INFO-END#REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效include /www/server/panel/vhost/rewrite/test.xxxx.cdn.dnsv1.com.conf;#REWRITE-END#禁止访问的文件或目录location ~ ^/(.user.ini|.htaccess|.git|.env|.svn|.project|LICENSE|README.md){return 404;}#一键申请SSL证书验证目录相关设置location ~ .well-known{allow all;}#禁止在证书验证目录放入敏感文件if ( $uri ~ "^/.well-known/.*.(php|jsp|py|js|css|lua|ts|go|zip|tar.gz|rar|7z|sql|bak)$" ) {return 403;}location ~* ^(/signin.*)$ {set $blocked 0;if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {set $blocked 1;}if ($blocked) {return 302 https://www.baidu.com;}proxy_pass http://127.0.0.1:7000;//替换为cobaltstrike侦听端口expires off;proxy_redirect off;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;}# 处理 GET 请求location ~* ^(/s/58462514417|/wc/58462514417)$ {set $blocked 0;if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {set $blocked 1;}if ($blocked) {return 302 https://www.baidu.com;}proxy_pass http://127.0.0.1:7000; # 根据实际情况设置目标expires off;proxy_redirect off;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;}# 处理 POST 请求location ~* ^/meeting/save$ {set $blocked 0;if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {set $blocked 1;}if ($blocked) {return 302 https://www.baidu.com;}proxy_pass http://127.0.0.1:7000; # 根据实际cobaltstrike侦听端口expires off;proxy_redirect off;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_method POST; # 明确使用 POST 方法}location ~ .*.(gif|jpg|jpeg|png|bmp|swf)${expires 30d;error_log /dev/null;access_log /dev/null;}location ~ .*.(js|css)?${expires 12h;error_log /dev/null;access_log /dev/null;}access_log /www/wwwlogs/test.xxxx.cn.cdn.dnsv1.com.log;error_log /www/wwwlogs/test.xxxx.cn.cdn.dnsv1.com.error.log;}
4. cobaltstrike客户端 新建侦听端口其中 HTTP Hosts和HTTP Host(Stager)应该对应腾讯云的CNAME域名,HTTP Port(C2)应该对应nginx侦听端口,HTTP Port(Bind) 对应为cobaltstrike实际侦听端口。
5.zoom.profile文件中需要把trust_x_forwarded_for设置为true。
set trust_x_forwarded_for "true";
6.把http-get http-post http-stager中的#header "Host" "";修改为以下内容
header "Host" "test.xxx.cn"; 你实际的域名7.然后生成应用程序即可完成上线,流量中已无法捕捉到真实IP地址。
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
- CobaltStrike4.9.1二开
- CobaltStrike免杀插件
- aspx文件自动上线cobaltbrike
- jsp文件自动上线cobaltbrike
- 哥斯拉免杀工具 XlByPassGodzilla
- 冰蝎免杀工具 XlByPassBehinder
- 冰蝎星落专版 xlbehinder
- 正向代理工具 xleoreg
- 反向代理工具xlfrc
- 内网扫描工具 xlscan
- CS免杀加载器 xlbpcs
- Todesk/向日葵密码读取工具
- 导出lsass内存工具 xlrls
- 绕过WAF免杀工具 ByPassWAF
- 等等...
目前星球已满100人,价格由198元调整为208元(交个朋友啦),200名以后涨价至238元!
星落免杀星球资源维护表
原文始发于微信公众号(渗透安全团队):干货 | 小白也能看懂的CobaltStrike CDN域前置+Nginx前置代理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论