前言
最近有许多同砚私信我,说咋渗透?没有一个完整渗透流程?工具不会用?
今天他来了,这次给同砚们带来,cs特征隐藏,
cs的基础用法,网上也有一大堆,先知社区也有许多大佬写得很详细了,我这里就不在讲了。
CobaltStrike概述
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。
成为了渗透测试中不能缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭证导出,端口转发,socket署理,office攻击,文件捆绑,钓鱼等功效。同时,Cobalt Strike还可以挪用Mimikatz等其他着名工具,因此广受黑客喜欢。
项目官网:https://www.cobaltstrike.com
俗称cs别名(多人运动),顾名思义,能够多人在线,搞事情
然则,cs这么强,cs的特征早被waf厂商符号了,你想想,好不容易搞下的目的,一连cs,就被waf提取到异常,剖析下你的cs流量,ban了你的ip,cs权限就不又么得了,甚至被厉害的bt,溯源,万一你的密码简朴,bt暴力破解你的cs,那不就被人一锅端了,
cs暴力破解剧本
这时刻,就要隐藏我们的cs了,给他加buff,让waf发现不了
CobaltStrike特征隐藏的几种常见方式
1.修改默认端口
编辑文件teamserver举行启动项修改
vim teamserver
修改为7896
然后启动
2去除证书特征
Cobalt Strike默认的证书,已经被waf厂商符号烂了,我们要重新天生一个新的证书,这里我们用JDK自带的keytool证书工具来天生新证书。
Linxu
直接使用,keytool下令
keytool
密钥和证书治理工具
下令:
-certreq 天生证书请求
-changealias 更改条目的别名
-delete 删除条目
-exportcert 导出证书
-genkeypair 天生密钥对
-genseckey 天生密钥
-gencert 凭证证书请求天生证书
-importcert 导入证书或证书链
-importpass 导入口令
-importkeystore 从其他密钥库导入一个或所有条目
-keypasswd 更改条目的密钥口令
-list 列出密钥库中的条目
-printcert 打印证书内容
-printcertreq 打印证书请求的内容
-printcrl 打印 CRL 文件的内容
-storepasswd 更改密钥库的存储口令
使用 "keytool -command_name -help" 获取 command_name 的用法
在keystore里,包罗两种数据:
密钥实体(Key entity)—— 密钥(secret key)又或者是私钥和配对公钥(接纳非对称加密) 可信托的证书实体(trusted certificate entries)——只包罗公钥
修改CS的证书文件
查看下cs的默认证书,口令为123456
keytool -list -v -keystore cobaltstrike.store
可以看到,cs的默认证书的Alias name 、Onwer 和 Issuer 的信息,特征都对照显著。
该下令天生一个新的cs证书
360 keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN" baidu keytool -keystore cobaltStrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=ZhongGuo, OU=CC, O=CCSEC, L=BeiJing, ST=ChaoYang, C=CN"
把新天生的证书替换掉默认的证书‘
Windows
在JDK 1.4以后的版本中都包罗了这一工具,它的位置为<JAVA_HOME>\bin\keytool.exe
。
C:\Users\28601.DESKTOP-7QBTS9F\Downloads\Compressed\kvm_client_windows\jre\bin\keytool.exe -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"
3.设置混淆设置文件
我们cs的客户端/服务端的流量通讯,大部门流量审计软件,都能检测到cs默认的通讯流量,以是cs开发团队,设置了设置文件,让用户直接设置客户端/服务端双向通讯的流量名堂以及软件响应设置,来绕过流量审计
cs官网给出的设置文件编写指南
https://www.cobaltstrike.com/help-malleable-c2
官方也给出了一个可修改的设置文件
https://github.com/rsmudge/Malleable-C2-Profiles
有兴趣的同砚可自行看看设置若何写,我这边就直接github的了,地址如下
https://github.com/xx0hcd/Malleable-C2-Profiles/tree/master/normal https://github.com/threatexpress/malleable-c2
这里使用伪造jQuery的C2-Profile
查看设置是否可用:./c2lint malleable-c2/jquery-c2.4.2.profile
,,U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。
启动设置./teamserver 服务器ip cs密码 混淆设置文件
抓包看流量,确实改变了
4.部署Nginx反向署理
现在我们的cs服务器登录端口隐藏了,流量也做了混淆,着次就要把,cs监听端口,给隐藏起来了,要否则,默认geturl,就能获取到我们的shellcode,加密shellcode的密钥又是牢固的(3.x 0x69,4.x 0x2e),以是能从shellcode中解出c2域名等设置信息。
不修改特征的话nmap 一扫就出来
nmap [ip][port] --script=grab_beacon_config.nse
修改这个特征有两个方式,
1.修改源码加密的密钥,
参考:Bypass cobaltstrike beacon config scan https://cloud.tencent.com/developer/article/1764340
2.限制端口接见,让一样平常的扫描器扫不了出开,
这里我们用nginx做反向署理,通过ua过滤流量,然后防火墙限制端口只能让127.0.0.1接见shellcode端口
先到我们的服务器上安装nginx服务
找到nginx安装路径 whereis nginx
打开设置编辑nginx设置文件
一样平常在安装路径的config/nginx.conf
vim /usr/local/nginx/conf/nginx.conf //详细看小我私人的nginx安装位置 在http中的server中设置中添加 location ~*jquery { if ( $http_user_agent != "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko") { return 404; } proxy_pass http://127.0.0.1:2095; }
设置中的ua凭证你的profile文件中设置的ua所定
profile中的ua也可以自行修改
设置防火墙只能让127.0.0.1接见监听端口
iptables -I INPUT -p TCP --dport 2095 -j DROP iptables -I INPUT -s 127.0.0.1 -p TCP --dport 2095 -j ACCEPT service iptables restart
直接接见域名,直接跳转404
4.png)
设置cs监听
直接天生exe,抓包测试,正常上线
5.https上线
默认的HTTPS的Beacon上线机械用的证书,及其容易被查出来,被识别,这里我们可以用自己的证书
我们可以直接在cloudflare上申请,异常利便,选择默认的pem名堂
https://www.cloudflare.com/zh-cn/ssl/
划分复制内容保留为key.pem和chain.pem上传到cs的服务器上,再在nginx设置文件中启用证书。
为cobalt strike 设置证书
1.天生xxx.com.store文件
openssl pkcs12 -export -in /api.xxx.com/sss.pem -inkey /api.xxx.com/ssk.pem -out api.xxx.com.p12 -name api.xxx.com -passout pass:123456
keytool -importkeystore -deststorepass 123456 -destkeypass 123456 -destkeystore api.xxx.com -src
2.将天生的api.xxx.com.store放到cs目录下,修改teamserver文件最后一行,将cobaltstrike.store修改为api.xxx.com.store和store文件对应的密码。(有需要的话,把端口号也可以改了并设置iptables只允许特定ip接见)
java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=40120 -Djavax.net.ssl.keyStore=./api.xx
3.将 keystore 加入 Malleable C2 profile 中
https-certificate {
set keystore “api.xxx.com.store”;
set password “123456”;
}
然后启动cs设置listener。
再通过nohup ./teamserver IP password amazon.profile &启动后抓上线包,证书就是自己申请的了
最后
我的博客开通了,还望大佬多多指点
kosakd.top
Filecoin FLA官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。
网友评论
5条评论USDT充值教程(www.6allbet.com)
回复皇冠最新线路(www.22223388.com)
回复皇冠官网(www.huangguan.us)
回复这作者妥妥的高材生
USDT不用实名买卖(www.usdt8.vip)
回复@皇冠官网(www.huangguan.us) IPFS招商官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS招商官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。很棒,高水准
皇冠登三出租(www.huangguan.us)
回复@皇冠官网(www.huangguan.us) 整体来看,法人预期,虹冠电在2021年上半年将可望沾恩于PC/笔电、游戏机订单续旺,加上挖矿及5G快充商机升温,推动产物出货连续冲刺,使2020年上半年业绩连续再冲历史同期新高。再也不想打游戏了