Cobalt Strike生成证书,修改C2 profile流量加密混淆

admin 2022年4月9日23:56:37评论411 views1字数 1495阅读4分59秒阅读模式

由于传播、利用此文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任

Cobalt Strike生成证书,修改C2 profile流量加密混淆

Cobalt Strike就不多介绍了,懂得都懂

本次实验环境

kali

Cobalt Strike 4.1

生成免费的SSL证书

Cobalt Strike默认使用的cobaltStrike.store证书,默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现

Cobalt Strike生成证书,修改C2 profile流量加密混淆

keytool工具介绍

Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即store后缀文件中。

选项:

-alias <alias>         要处理的条目的别名
-keyalg <alg>           密钥算法名称
-keysize <size>         密钥位大小
-groupname <name>       Group name. For example, an Elliptic Curve name.
-sigalg <alg>           签名算法名称
-destalias <alias>     目标别名
-dname <name>           唯一判别名
-startdate <date>       证书有效期开始日期/时间
-ext <value>           X.509 扩展
-validity <days>       有效天数
-keypass <arg>         密钥口令
-keystore <keystore>   密钥库名称
-storepass <arg>       密钥库口令
-storetype <type>       密钥库类型
-providername <name>   提供方名称
-addprovider <name>     按名称 (例如 SunPKCS11) 添加安全提供方
  [-providerarg <arg>]   配置 -addprovider 的参数
-providerclass <class> 按全限定类名添加安全提供方
  [-providerarg <arg>]   配置 -providerclass 的参数
-providerpath <list>   提供方类路径
-v                     详细输出
-protected             通过受保护的机制的口令

生成SSL证书命令

keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store
tenet tenet.store这两个字符串要记住,后续修改profile需要使用
密钥库口令:tenet123
组织名称:MicrosoftUpdates(尽量像大型企业)

Cobalt Strike生成证书,修改C2 profile流量加密混淆

成功生成证书

Cobalt Strike生成证书,修改C2 profile流量加密混淆

创建并修改C2-profile文件

set keystore
set password
set alias

Cobalt Strike生成证书,修改C2 profile流量加密混淆

通过./c2lint验证

Cobalt Strike生成证书,修改C2 profile流量加密混淆

Cobalt Strike生成证书,修改C2 profile流量加密混淆

修改teamserver默认端口,默认端口50050过于明显

vim teamserver

修改默认端口50050为30999

Cobalt Strike生成证书,修改C2 profile流量加密混淆

启动CobaltStrike

后台运行teamserver

nohup ./teamserver 192.168.152.130 123456 tenet.profile &

nohup 英文全称 no hang up(不挂起),用于在系统后台不挂断地运行命令,退出终端不会影响程序的运行

Cobalt Strike生成证书,修改C2 profile流量加密混淆

启动CobaltStrike,注意端口

./cobalstrike

Cobalt Strike生成证书,修改C2 profile流量加密混淆

看下https是否生成

Cobalt Strike生成证书,修改C2 profile流量加密混淆

还有证书

Cobalt Strike生成证书,修改C2 profile流量加密混淆

通过CS上线执行命令

Cobalt Strike生成证书,修改C2 profile流量加密混淆

wireshark看是否加密

成功加密TLSv1.2

Cobalt Strike生成证书,修改C2 profile流量加密混淆


原文始发于微信公众号(Nurburgring):Cobalt Strike生成证书,修改C2 profile流量加密混淆

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日23:56:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cobalt Strike生成证书,修改C2 profile流量加密混淆https://cn-sec.com/archives/872889.html

发表评论

匿名网友 填写信息