目录
简介:
很多工具都带有自己的特征,例如sqlmap、awvs等扫描器,一展开扫描就很容易被waf ban掉;或者因为没有隐匿自身特征反被上线。
这里主要是从修改默认端口、替换SSL证书、修改C2.profile文件三方面进行隐匿自己特征。
这里我使用的CobaltStrike4.0版本
一、修改默认端口
vim teamserver
在文件最后一行;默认端口是50050;可以根据情况修改为任意端口。
我这里修改成了10000.
二、替换SSL证书
keytool 是一个Java数据证书和密钥管理工具。
Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即store后缀文件中。
#命令
-certreq 生成证书请求
-changealias 更改条目的别名
-delete 删除条目
-exportcert 导出证书
-genkeypair 生成密钥对
-genseckey 生成密钥
-gencert 根据证书请求生成证书
-importcert 导入证书或证书链
-importpass 导入口令
-importkeystore 从其他密钥库导入一个或所有条目
-keypasswd 更改条目的密钥口令
-list 列出密钥库中的条目
-printcert 打印证书内容
-printcertreq 打印证书请求的内容
-printcrl 打印 CRL 文件的内容
-storepasswd 更改密钥库的存储口令
查看证书:
keytool -list -v -keystore cobaltstrike.store
默认密码是: 123456
可以看到别名和证书的所有者包含CS的一些特征。
默认是:
CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, ST=Cyberspace, C=Earth
这里进行一个修改;从新生成一个证书文件:
keytool -genkey -alias ling -keyalg RSA -validity 36500 -keystore ling.store
查看证书:
keytool -list -v -keystore ling.store
载入证书文件:
keytool -importkeystore -srckeystore ./ling.store -destkeystore ./ling.store -deststoretype pkcs12
三、修改C2.profile文件
创建并修改C2-profile文件:
vi c2.profile
#文件名可以随意
set keystore
set password
set alias
set sample_name "C2 POS Malware";
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter "10"; # throw in a 10% jitter
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Firefox/24.0";
#设置证书
https-certificate {
set CN "US";
set O "MicrosoftUpdates";
set C "en";
set L "US";
set OU "MicrosoftUpdates";
set ST "US";
set validity "365";
}#设置
code-signer{
set keystore "ling.store";
set password "159357";
set alias "ling";
}#指定 DNS beacon 不用的时候指定到 IP 地址
set dns_idle "8.8.4.4";
#每个单独 DNS 请求前强制睡眠时间
set dns_sleep "0";
#通过 DNS 上载数据时主机名的最大长度[0-255]
set maxdns "235";
http-post {
set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php
/windowsxp/updcheck.php /hello/flash.php";
client {
header "Accept" "text/plain";
header "Accept-Language" "en-us";
header "Accept-Encoding" "text/plain";
header "Content-Type" "application/x-www-form-urlencoded";
id {
netbios;
parameter "id";
}
output {
base64;
prepend "&op=1&id=vxeykS&ui=Josh @
PC&wv=11&gr=backoff&bv=1.55&data=";
print;
} }
server {
output {
print;
} } }
http-get {
set uri "/updates";
client {
metadata {
netbiosu;
prepend "user=";
header "Cookie";
} }
server {
header "Content-Type" "text/plain";
output {
base64;
print;
} } }
c2lint校验配置文件能否通过
./c2lint c2.profile
运行失败的话话出现红色异常代码
四、运行teamserver文件服务端上线
./teamserver 192.168.100.142 123123 ling.store
成功进入。