域前置技术的原理与CS上的实现

最新推荐文章于 2024-06-11 09:17:10 发布
最新推荐文章于 2024-06-11 09:17:10 发布
阅读量10w+ 收藏 24
点赞数 8
分类专栏: cobalt strike相关 C2伪装 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/107742843
版权

CATALOG

参考资料

域前置技术的原理以及在CS上的实现
malleable_profile配置概述

原理

假设有两个主机,域名分别为www.a.com与www.b.com。这两个主机都是被ip为1.1.1.1的cdn进行加速的。

这时候使用curl命令请求cdn 1.1.1.1,并自定义host段为www.b.com的话。就会返回www.b.com的页面。

命令为:curl 1.1.1.1 -H "Host: www.b.com" -v

同理请求同样的cdn,但是将host改为www.a.com,这时候就会返回A页面的信息。

如果将curl 后请求的ip改为 www.a.com, host 改为 www.b.com。命令为:

Curl www.a.com -H "Host: www.b.com" -v

上述命令还是显示的是www.b.com的页面,所以最终请求的还是www.b.com。

所以,域前置技术的核心基础设施是cdn。

当使用https的时候(一般都会使用https,http明文流量容易被检测到),技术实现的核心是在不同的通信层使用不同的域名,DNS解析的时候跟TLS服务器名称指示(sin),的时候使用的是合法的CDN的域名或者ip(建议使用域名),但实际访问域名却是host上写的域名.

host头对于检查器是不可见的,但是对于接受https请求的前端服务器是可见的。

这里借用一张图片来表示:
在这里插入图片描述

CS上的实现

  • 准备一个自带域名的teamserver

  • 给teamserver配置一个cdn,并记录一个cdn上的安全的ip/域名

    在这里插入图片描述

    如上图所示,申请完cdn后,cdn厂商会给你一个cdn上的域名,如上图,用户访问这个域名的时候会访问到真正的C2服务器。合法域名则通常可以从相关CDN子域进行寻找,我们可以采用一些知名网站或网络安全公司相关的域名来逃避检测。

  • 配置profile中的http get与http post块,设置header头为teamserver的域名。

在这里插入图片描述
在http-config模块还要将trust_x_forwarded_for 属性设置为true:
在这里插入图片描述

  • 创建listener,将http hosts设置为任意的cdn的安全域名或者ip。
    在这里插入图片描述

获得安全域名或者cdn ip的方式

在站长之家有个ping的工具,在网址那一栏填写分配给你的cdn的域名即可:
在这里插入图片描述
获取到cdn代理到ip后,使用curl ip -H "Host: c2的域名" -v测试一下看是否可以连接通。

  • 如果木马无法上线,则关闭系统自带的防火墙,让外部能访问进来。 Ubuntu 16.04执行 ufw disable 就把防火墙关掉了。

CS的profile文件的配置可以看我的另一篇文章malleable_profile配置概述
隐藏源IP,提高溯源难度的几种方案

Shanfenglan7
关注
  • 8
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
前置技术和C2隐藏
蚁景网安学院
11-09 1400
前置又译为名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
前置技术
最新发布
bugsycrack的博客
06-11 233
上面的启动项里,将 example.com 映射到 example.org,然后 example.org 解析到 IP 192.0.2.0,最后是忽略证书错误。原理真的很简单,其实很多人已经在使用GPT-4o编程,当然也可以轻松用GPT-4o制作一个网页版:Chrome 前置启动项生成器,填入 Sheas-Cealer 的 YAML 格式规则,然后封包网页成app或者直接调用,应该就能在其他平台使用了。原理是发布虚假的,SNI 扩展信息里不包含上了名单的名,以绕过深度包检测。
【溯源反制】CDN&前置&云函数-流量分析|溯源
今天是几号的博客
05-12 3485
1、不备案的名+禁用不必要的名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源5、加跳板、代理等,当然最重要的是免杀了……
cobaltstrike前置
网络安全。
11-01 3939
给cobaltstrike加前置是一项非常简单而有用的技术,cobaltstrike有了前置可以大大提升其隐蔽性,同时也保护了我们cobaltstrike服务端的真实ip,增加了防守方反制的难度。 cobaltstrike前置 1、登录腾讯云,开启cdn服务。 添加高可信名。 回源地址设置为vps地址。 添加成功。 2、修改profile文件图中两处,指定Host使得CDN把请求转发到我们的服务器。 https://github.com/rsmudge/Malleable-C2-Profil
前置放大的原理图、PCB图
01-14
设计者通过原理图定义了电路的工作原理,然后在PCB图上优化了组件布局,以实现最佳的电气性能和物理尺寸。在设计过程中,他们进行了多次的编辑和改进,以确保电路的可靠性和效率。这包括了对电路库的引用,对电路板...
数据库事务的概念及其实现原理
02-24
因为最近在导师手下做一个微服务和分布式事务相关的课题项目,作为必要的前置准备,需要加深下对单机事务的认识并理解其实现原理。这篇文章是在我给组内的小伙伴分享的PPT的基础上改动而成,旨在帮助大家建立关于事务的...
ATEM接收机前置放大器设计与实现
01-27
为了满足时间航空电磁法(以下简称ATEM)测量系统对前置放大器的设计要求,制作实现了一款适用于ATEM系统的前置放大器。本文主要讲解了对空芯多圈线圈的阻抗匹配的原则 ;采用差分式放大电路对微弱二次场信号进行...
深入浅析Spring 的aop实现原理
09-02
在实际开发中,我们可以使用Spring AOP来实现如事务管理、日志记录等功能,避免在业务代码中插入这些与核心业务逻辑无关的代码,从而保持代码的清晰和简洁。通过理解Spring AOP的实现原理,开发者可以更好地设计和...
模拟技术中的前置运算放大器的噪声分析与设计
11-19
在模拟技术中,前置运算放大器扮演着至关重要的角色,特别是在D类音频功率放大器的设计中。这个模块位于系统的前端,负责预处理输入信号源,调整增益,以及进行阻抗变换,确保与后续功率放大级的兼容性。前置运算...
前置Cobalt Strike逃避IDS审计
m0_50526465的博客
05-10 1598
前置Cobalt Strike逃避IDS审计 前置简介 前置(Domain Fronting)基于HTTPS通用规避技术,也被称为前端网络攻击技术。 这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些前端技术服务。 前置技术原理(CDN分发) 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置
【红队APT】反朔源隐藏&C2项目&CDN前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 2699
区别于单纯的CDN隐藏IP技术;前置技术采用高权重名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
模拟攻击者利用“前置”(Domain Fronting)技术逃避审查(重定向、CDN)
墨痕诉清风的博客
06-03 1863
前置”发生在应用层,主要适用了HTTPS协议进行通信,通信中的远程端点原本是被禁止的,通过使用“前置技术,让检测器误认为是一个其他的合法地址,进而绕过检测。根据我们的了解,目前针对前置的最常见的检测方法是在配置一个中间人HTTPS 代理,通常被称为 “SSL Termination”,它的作用是解密和检测通信中所有的加密流量。本文重点介绍一下“前置”(Domain Fronting,也被意译为“名幌子”)技术的基本原理和适用场景,国内在这方面的资料不多,抛砖引玉,欢迎大家交流讨论。
免费cs前置上线
课嗨教育的专栏
05-13 988
目录 注册名 注册邮箱 注册名 国内各个公司大佬都习惯用自己的.com或者.cn、.net名上线,早年各位白嫖的时候都知道有tk名是免费名,还有那种免费空间建站。这里用到的就是免费名tk名。其他免费名需要各位自己查找~ http://www.jm.cn/?t=xx_8486 或者可以百度搜索: https://www.baidu.com/baidu?tn=monline_4_dg&ie=utf-8&wd=.tk%E5%9F%9F%E5%90%8D%E5%85%8
前置通信过程和溯源思路
博客地址 www.sec0nd.top
08-08 1890
当天下午收到了一个评论,是询问关于涉及文中提到前置技术,是否达到了完美的隐藏了ip,是否真的无法溯源。对于这个问题,我没有考虑好,接连回了三条,后来又被我删了。因为也是第一次接触前置这个东西,打算写一篇关于前置的文章来解释我的理解,同时下午和晚上也翻看了一些文章,也有了一些新的理解。前置可以躲避安全设备和一般的人为发现从流量角度来说,是无法找出的(公钥加密目前还不太好破解),但是可以从其他角度入手。...
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN前置
今天是几号的博客
04-18 1956
生成后在虚拟机中上线,不过遇到了奇怪的事情就是,我在上线的虚拟机中抓不到http流量的数据包,而在物理机中抓到了(emmm我也不太懂为什么会这样)红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,这里可以看到msf自带的证书,这里我们对该证书进行伪装(这里其实流量上没做什么改变,知识对默认证书指纹做了修改)这里可以看到,流量进行了加密,只能隐约的看到一些ssl证书信息。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值