反击CobaltStrike

最新推荐文章于 2024-04-30 11:59:51 发布
最新推荐文章于 2024-04-30 11:59:51 发布
阅读量1.3k 收藏 8
点赞数
分类专栏: 安全 网络 程序员 文章标签: 网络安全 信息安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120081811
版权

背景

CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗?有没有反击CS的奇技淫巧?答案当然是肯定的!接下来带各位看官体验一种批量伪造肉鸡来戏耍CS的新方法,希望各位蓝队同学引(付)以(诸)为(实)戒(践)。

CS上线流量特征分析

首先,我们先研究下CS上线的流量有无特征。图1使用Wireshark分析HTTP型Beacon的上线包。
在这里插入图片描述
图1

肉眼来看,上线包的敏感信息隐藏到了Cookie中,特征非常明显。通过进一步分析,我们发现上线包的请求Cookie值是受控主机元数据经过非对称加密后的密文,CS服务器接收到Cookie值后进行解密从而获取到受控主机信息。受控主机元数据包含了若干敏感信息,如图2所示:

在这里插入图片描述
图2

此处划重点,HTTP型Beacon 上线包的核心在于Cookie,而Cookie是对受控主机元数据的非对称加密的密文。

HTTP Beacon重放实验

由于HTTP属于明文传输协议,HTTP型Beacon的上线过程存在中间人重放的可能。

我们做了一个简单的测试,验证了这种可能性(此处迫于运营小姐姐压力,稍微有凑字数嫌疑)。

首先抓取测试环境中的HTTP Beacon上线请求,使用Python脚本(如:图3)进行重放(注意:Header头信息不能错误,

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cobaltstrike反制神器
问题很多的小明
09-20 2002
git地址: https://github.com/hariomenkel/CobaltSpam 需要下载的依赖: pip3 install PySocks pip3 install stem pip3install requests pip3 install rstr 依次安装 根据python3执行报错缺少的依赖依次安装。遇到pip3 install M2Crypto,mac环境下需要执行安装xcode-select --install 然后安装swig 执行:python3 sp..
反制burpsuit RCE上线CS
qq_40773698的博客
05-11 1147
0x00前言: Burp Suite的反制原理是利用低版本的chrome浏览器漏洞来触发命令执行达到反制的效果,Headless Chrome是谷歌Chrome浏览器的无界面模式,通过命令行方式打开网页并渲染,常用于自动化测试、网站爬虫、网站截图、XSS检测等场景。攻击者可以利用这些缺陷攻击客户端应用以达到命令执行效果。 0x01触发条件: Burp Suite v2.0的Live audit from Proxy被动扫描功能在默认情况下开启JavaScript分析引擎(JavaScr
溯源反制-远程控制工具-CobaltStrike
m0_62172162的博客
04-25 593
溯源反制-远程控制工具-CobaltStrike
内网神器Cobalt Strike隐藏特征与流量混淆.
最新发布
2301_80115097的博客
04-30 598
由于上次还没有写好https上线的东西,今天加班加点的弄出来了。本文内容如有错误,望及时告知,以免误导他人.
CobaltStrikeScan:扫描文件或进程内存以查找CobaltStrike信标并解析其配置
03-30
钴弹扫描 扫描文件或处理内存以查找Cobalt Strike信标,并解析其配置。 CobaltStrikeScan扫描Windows进程内存以查找DLL注入(经典或反射注入)的证据,并在目标进程的内存上执行YARA扫描以获取Cobalt Strike v3和v4信标签名。 另外,CobaltStrikeScan可以对绝对路径或相对路径提供的文件执行相同的YARA扫描,作为命令行参数。 如果在文件或进程中检测到Cobalt Strike信标,则将解析该信标的配置并将其显示在控制台中。 克隆此仓库 CobaltStrikeScan包含作为子模块。 确保在克隆CobaltStrikeScan时使用git clone --recursive https://github.com/Apr4h/CobaltStrikeScan.git ,以便也下载/克隆子模块的代码。 建立解决方案 Costur
Cobalt StrikeCS)流量分析
小千安全
04-21 6644
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
反击主变压器设计气隙.pdf
03-18
反击主变压器设计气隙
单端反击变压器设计.xls
03-18
单端反击变压器设计
反击耐雷水平计算
11-29
可以方便计算杆塔反击耐雷水平,在工程实际应用中,简化计算过程和要求
反击变换器的matlab仿真
04-28
采用反击变换器的开关电源的matlab仿真
绝地反击.zip
04-21
绝地反击.zip
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 3887
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
朔源反制cs流量分析
wuqingsix的博客
02-19 1174
弱特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
反制cobalt_strike_4.7
XXokok的博客
12-12 95
反制cobalt_strike_4.7
cs流量特征隐藏
renyizou的博客
11-16 1590
转载mark一下 https://xz.aliyun.com/t/9542https://xz.aliyun.com/t/9542
denied 登陆后access_后渗透协同平台 Cobalt Strike 常用功能介绍与分析
weixin_39527292的博客
12-06 261
0x00 背景在开展渗透测试项目时,渗透测试工程师会使用大量的渗透测试框架以及工具,如Cobalt Strike。它提供了灵活性强、可用性高、可高度定制的攻击开发和执行环境,同时其具备端口扫描和木马生成等功能。通常在获取系统控制权后,测试人员需根据具体的渗透测试目的和实际测试场景选择使用恰当的方式进行测试,此时需调用相对应的命令。这些命令背后都有其运行原理,掌握其原理可在一定程度上提高渗...
【知识积累】CS4.4绕过vultr特征检测修改checksum8算法
孤桜懶契
01-07 4636
前言 众所周知,关于cs相关的资料都非常的少,并且是打得特别紧,特别是这两年各个安全厂商对cs相关的内容都给予了特征识别等严重的打击,例如vultr网站会检测特征并关停服务器,我们可以同个多种方式更改特征绕过,接下来我们来讲更改cs的算法进行绕过。例如下面这样 我弄的环境,就因为开了cs结果就被强制破坏o(╥﹏╥)o 特征检测 关于被检测的特征详细来概述 首先我们新建监听器 这里我们一般用80和443来监听,因为其他端口的容易被封,这俩端口基本没人去管 接下来我们打开特征的的一些链接看下
通信协议中用c语言计算checksum(8位数据、16位数据、32位数据)
weixin_42242420的博客
12-20 1114
在这个示例中,我们定义了三个函数来计算8位、16位和32位数据的checksum。这些函数都接受一个指向数据的指针和一个表示数据长度的整数作为参数。它通常用于确保数据在传输过程中没有被篡改。计算checksum的方法有很多种,其中一种常见的方法是使用异或运算符(^)。在main函数中,我们创建了三个数组来存储不同类型的数据,并调用相应的checksum函数来计算它们的checksum。// 计算16位数据的checksum。// 计算32位数据的checksum。// 计算8位数据的checksum。
Cobalt Strike防溯源系列之《修改默认证书&混淆流量》
网安君的博客
06-13 661
Cobalt Strike是一种商业后渗透测试工具,用于模拟攻击和测试组织网络和防御的安全性。它提供了多种功能,包括命令和控制、无文件负载、社交工程和横向移动。通过使用这些功能,红队和渗透测试人员可以更好地了解组织的安全状况,并帮助组织改善其防御措施。
tiktok强势反击
03-12
TikTok是一款非常受欢迎的短视频社交应用程序,但也面临着一些挑战和竞争。为了应对这些挑战,TikTok采取了一系列强势反击措施。 首先,TikTok积极与内容创作者合作,提供更多的机会和资源来吸引他们留在平台上。他们推出了创作者基金计划,为优秀的内容创作者提供资金支持,以鼓励他们在TikTok上创作更多有趣和有吸引力的内容。 其次,TikTok不断改进和优化其算法和推荐系统,以确保用户能够看到最相关和最有趣的内容。他们利用机器学习和人工智能技术,根据用户的兴趣和偏好来个性化推荐视频,提高用户留存率和使用体验。 此外,TikTok还积极与品牌和广告主合作,推出了广告合作计划,为品牌提供更多的曝光机会和广告投放选择。通过与品牌合作,TikTok能够吸引更多的广告主投放广告,并为用户提供更多多样化的内容。 最后,TikTok还加强了对用户数据和隐私的保护措施,以增强用户对平台的信任感。他们采取了严格的数据安全措施,确保用户的个人信息得到保护,并遵守相关的隐私法规和政策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值