域前置Cobalt Strike逃避IDS审计

最新推荐文章于 2023-12-15 16:00:41 发布
最新推荐文章于 2023-12-15 16:00:41 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: 流量加密技术 文章标签: 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50526465/article/details/116610587
版权

域前置Cobalt Strike逃避IDS审计

域前置简介

域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。

这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。

域前置技术原理(CDN分发)

通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置域名的高可信度,如我们可以设置一个微软的子域名,可以有效的躲避DLP、agent等流量检测。原理如下

工作原理(也就是CDN工作原理)

域前置的核心是CDN

CDN工作原理:

同一个IP可以被不同的域名进行绑定加速,再通过HTTP请求包头里的HOST域名来确定访问哪一个。

比如我们ping www.dcpc.com

得到IP:1.81.2.59
在这里插入图片描述

通过IP反查域名,可以看到很多域名绑定在这个IP上,这个就是CDN
在这里插入图片描述

www.3636.com和www.youka.la都是这个CDN服务器下的域名并且都保定了别名进行CND加速

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cobaltstrike4.0-cracked.zip
07-04
这是Cobalt Strike4.0的无后门版本,该版本仅供学习使用,请勿用于非法途径,请时刻遵守国家法律。
cobaltstrike中文版.zip
05-17
cobaltstrike中文版.zip
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
CobaltStrike4.7
11-29
cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。 Cobalt Strike 分为客户端组件和服务器组件。 服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形化界面
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
前置技术
干铮的博客
03-15 5477
前置(Domain Fronting) 基于HTTPS通用规避技术,也被称为前端网络攻击,这是一种用来隐藏Metasploit,Cobalt Strike 等团队控制服务器流量以此来一定程度绕过检查器或防火墙检测的技术,如 Amazon ,Google,Akamai 等大型厂商会提供一些前端技术服务。 前置技术原理 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。利用我们配置名的高可信度,我们可以设置一个微软或者谷歌的子名,可以有效的..
cobaltstrike前置
网络安全。
11-01 3748
cobaltstrike前置是一项非常简单而有用的技术,cobaltstrike有了前置可以大大提升其隐蔽性,同时也保护了我们cobaltstrike服务端的真实ip,增加了防守方反制的难度。 cobaltstrike前置 1、登录腾讯云,开启cdn服务。 添加高可信名。 回源地址设置为vps地址。 添加成功。 2、修改profile文件图中两处,指定Host使得CDN把请求转发到我们的服务器。 https://github.com/rsmudge/Malleable-C2-Profil
前置技术和C2隐藏
蚁景网安学院
11-09 1294
前置又译为名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
【红队APT】反朔源隐藏&C2项目&CDN前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 2345
区别于单纯的CDN隐藏IP技术;前置技术采用高权重名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
Cobalt Strike使用教程——实战篇
Captain_RB的博客
06-10 5616
本文主要介绍实战中 **Cobalt Strike** 4.3 的常用操作,包括Malleable C2配置与分析、监听器和Beacon Payload配置与区别、进程注入与欺骗、与MSF联动以及插件使用方法。
内网神器cobaltstrike使用教程
最新发布
zkaqlaoniao的博客
12-15 704
系统环境:需要java环境Oracle Java 1.8,Oracle Java 11下载解压就可以使用首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地服务端启动命令windows运行teamserver.batlinux需要有足够权限,可以通过chmod +x teamserver 来提高权限这里为设定一个服务端,前面为服务端所在机器的ip ,后面为密码启动服务端后,我们就可以启动客户端去连接了。
前置技术的原理与CS上的实现
热门推荐
Shanfenglan's blog
08-02 35万+
原理 参考资料:前置技术的原理以及在CS上的实现 假设有两个主机,名分别为www.a.com与www.b.com。这两个主机都是被ip为1.1.1.1的cdn进行加速的。 这时候使用curl命令请求cdn 1.1.1.1,并自定义host段为www.b.com的话。就会返回www.b.com的页面。 命令为:curl 1.1.1.1 -H "Host: www.b.com" -v 同理请求同样的cdn,但是将host改为www.a.com,这时候就会返回A页面的信息。 如果将curl 后请求的ip改为
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 6965
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
DomainFronting 前置
yzpbright的博客
05-26 358
参考: Domain fronting前置网络攻击技术 隐匿的攻击之-Domain Fronting Domain fronting前置网络攻击技术 暗度陈仓:基于国内某云的 Domain Fronting 技术实践 国内外CDN名列表收集项目:DomainFrontingLists ...
模拟攻击者利用“前置”(Domain Fronting)技术逃避审查(重定向、CDN)
墨痕诉清风的博客
06-03 1824
前置”发生在应用层,主要适用了HTTPS协议进行通信,通信中的远程端点原本是被禁止的,通过使用“前置”技术,让检测器误认为是一个其他的合法地址,进而绕过检测。根据我们的了解,目前针对前置的最常见的检测方法是在配置一个中间人HTTPS 代理,通常被称为 “SSL Termination”,它的作用是解密和检测通信中所有的加密流量。本文重点介绍一下“前置”(Domain Fronting,也被意译为“名幌子”)技术的基本原理和适用场景,国内在这方面的资料不多,抛砖引玉,欢迎大家交流讨论。
前置通信过程和溯源思路
博客地址 www.sec0nd.top
08-08 1766
当天下午收到了一个评论,是询问关于涉及文中提到前置技术,是否达到了完美的隐藏了ip,是否真的无法溯源。对于这个问题,我没有考虑好,接连回了三条,后来又被我删了。因为也是第一次接触前置这个东西,打算写一篇关于前置的文章来解释我的理解,同时下午和晚上也翻看了一些文章,也有了一些新的理解。前置可以躲避安全设备和一般的人为发现从流量角度来说,是无法找出的(公钥加密目前还不太好破解),但是可以从其他角度入手。...
Cobalt Strike特征修改
qq_50854662的博客
06-01 2664
修改cs特征

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值