Cobalt Strike(十六)malleable C2的使用

最新推荐文章于 2024-04-18 08:22:30 发布
最新推荐文章于 2024-04-18 08:22:30 发布
阅读量741 收藏 1
点赞数
分类专栏: cobaltstrike 安全工具 安全 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/127059674
版权
安全 同时被 3 个专栏收录
98 篇文章 12 订阅
订阅专栏
安全工具
35 篇文章 4 订阅
订阅专栏
cobaltstrike
19 篇文章 8 订阅
订阅专栏

1.什么是malleable C2

英文 Malleable Command and Control

可扩展的命令和控制

Mallerable C2 是一种特定的语言,主要用来控制 “Cobalt Strike Beacon”攻击载荷中的网络指针(网络参数)

使用malleable C2

./teasmserver [ip][password][/patch/profile]

2.malleable C2的作用

可以通过修改c2配置文件,更改beacon中 payload的属性、行为、通过框架修改这些配置文件的属性,伪造正常的通信的流量,实现一些ids 入侵检测防火墙的绕过。现在成熟的ids检测工具 都可以检测出Cobalt Strike 这些著名得商业渗透测试工具。在一些很严格的环境中,被检测出来基本上就很难继续深入进行渗透。

3.profiles配置文件的详解

选项关键词

jitter控制beacon的不稳定的抖动时间

maxdns 控制dns的最大访问次数

sleeptime 控制beacon的睡眠间隔时间

spawnto

uri 请求的url

useragent  每次攻击时的浏览器头信息

除了设置Malleable C2的选项外,还能增加任意的http头信息增加到beacon中进行交互通信。

增加任意指定的参数的命令

header "header" "value"

parameter "key" "value"

#
# Asprox botnet traffic profile
#   http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-asprox-reborn.pdf
#
# Author: @harmj0y
#
set sample_name "Asprox Botnet";

set sleeptime "30000"; # use a ~30s delay between callbacks
set jitter    "20"; # throw in a 10% jitter
set maxdns    "255";
set useragent "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0; .NET CLR 1.0.2914)";

http-get {

    set uri "/";

    client {

        header "Accept" "*/*";
        header "Content-Type" "application/x-www-form-urlencoded";
        header "Content-Transfer-Encoding" "base64";
        header "Connection" "Keep-Alive";

        metadata {
            netbiosu;
            uri-append;
        }
    }

    server {

        header "Server" "nginx/1.2.5";
        header "Content-Type" "text/html";
        header "X-Powered-By" "PHP/5.4.4-7";
        header "Vary" "Accept-Encoding";

        output {
            base64;
            print;
        }
    }
}

http-post {

    # random hash to try to simulate the post uri in the report
    set uri "/78dc91f1A716DBBAA9E4E12C884C1CB1C27FFF2BEEED7DF1";

    client {
    
        header "Accept" "*/*";
        header "Content-Type" "application/x-www-form-urlencoded";
        header "Content-Transfer-Encoding" "base64";
        header "Connection" "Keep-Alive";

        id {
            parameter "id";
        }

        output {
            base64;
            print;
        }
    }

    server {

        header "Server" "nginx/1.2.5";
        header "Content-Type" "text/html";
        header "X-Powered-By" "PHP/5.4.4-7";
        header "Vary" "Accept-Encoding";

        output {
            base64;
            print;
        }
    }
}

 5.c2lint 的使用

c2lint的profiles的文件是否正确

绿色是正常 黄色是警告 红色是错误

 6.参考内容

https://github.com/rsmudge/Malleable-C2-Profiles

Broken Promises and Malleable C2 Profiles - Cobalt Strike R​​​​​​esearch and Development

https://www.cobaltstrike.com/help-malleable-c2

git clone https://github.com/rsmudge/Malleable-C2-Profiles

 ——————————————————————————所谓辉煌的人生,不过是欲望的囚徒

夜yesec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
malleable-c2:Cobalt Strike可锻C2设计和参考指南
05-07
Cobalt Strike 4.3添加最新的Malleable C2配置文件选项 将dns设置移至新的dns-beacon部分 4.3增加 dns信标 信标 得到 get_AAAA get_TXT put_metadata put_output ns_response http-config block_useragents ...
Cobalt Strike使用教程——实战篇
Captain_RB的博客
06-10 5642
本文主要介绍实战中 **Cobalt Strike** 4.3 的常用操作,包括Malleable C2配置与分析、监听器和Beacon Payload配置与区别、进程注入与欺骗、与MSF联动以及插件使用方法。
探索 Malleable C2 Profiles:一个强大的隐蔽通信工具
gitblog_00006的博客
04-14 293
探索 Malleable C2 Profiles:一个强大的隐蔽通信工具 项目地址:https://gitcode.com/xx0hcd/Malleable-C2-Profiles Malleable C2 (Command and Control) Profiles 是一个开源项目,旨在帮助安全研究人员和渗透测试人员定制他们的 C2 服务器,以实现更难以检测的网络通信。通过该项目,你可以创建或修...
探秘Malleable C2:高级网络侦查与反侦查的新利器
gitblog_00036的博客
03-25 382
探秘Malleable C2:高级网络侦查与反侦查的新利器 项目地址:https://gitcode.com/threatexpress/malleable-c2 Malleable C2 是一个开源项目,由 ThreatExpress 团队开发,主要用于定制和混淆C&C(Command and Control)服务器通信,以提升网络监控中的隐蔽性和抗检测能力。对于网络安全研究人员、红队成...
cobalt strike profile
m0_59119089的博客
12-27 1373
cobalt strike profile 说明
Cobalt Strike Malleable C2
f_carey的博客
01-25 4126
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Cobalt Strike Malleable C21 Malleable-C2-Profiles 简单使用2 配置文件简析2.1 配置文件结构2.2 配置文件文句2.2.1 定义Beacon客户端发送的元数据2.2.2 定义 Beacon 服务器提取元数据2.2.3 数据转换语言2.2.4 终止语句2.2.5.
CobaltStrike使用-第一篇(基本使用方法、监听器、重定向器,以及通过重定向器隐藏C2服务器
Love&Share
11-29 5006
文章目录基本使用客户端与服务器连接上线CS基本步骤基础设施监听器BeaconDNS BeaconDNS请求原理实验避坑重定器实验 Cobalt Strike是一款综合的渗透测试神器 官网:https://www.cobaltstrike.com/ 工具的社区版是Armitage(一个MSF的图形化界面工具),CobaltStrike为收费商业版本 手册:CobaltStrike4.0用户手册_中文翻译、4.3、狼组版 Cobalt Strike使用C/S架构,Cobalt Strike的客户端连接到团.
Malleable-C2-Profiles:钴打击-可锻C2型材。 使用Cobalt Strike https在不同项目中使用的配置文件的集合
05-05
钴打击-可锻C2型材 使用Cobalt Strike 在不同项目中使用的配置文件的集合。
cobaltstrike-v4-20191205.zip
03-20
Malleable C2 lets you change your network indicators to look like different malware each time. These tools complement Cobalt Strike's solid social engineering process, its robust collaboration ...
pyMalleableC2:适用于Cobalt Strike Malleable C2配置文件的Python解释器。 允许您以编程方式解析,构建和修改它们
04-29
pyMalleableC2 用于Cobalt Strike Malleable C2配置文件的Python解释器,可让您以编程方式解析,修改,构建它们并验证语法。 从Cobalt Strike版本4.3开始,支持所有Cobalt Strike可锻C2配置文件语法。 与以前的...
Cobalt Strike
06-17
CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。 CS功能 Cobalt Strike可以使用 ...
Malleable-C2-Profiles流量伪装
qq_32445755的博客
04-21 616
简介 在日常的渗透测试工作中,我们需要做很多的规避操作,因为我们所使用C2工具等,可能早已被AV等防护软件所标记,所以我们需要订制我们的攻击工具。而这就引出了我们的今天的重点Malleable C2Malleable C2Cobalt Strike 的一项功能, 意为 “可定制的” 的 C2 服务器. Malleable C2 允许我们仅通过一个简单的配置文件来改变 Beacon 与 C2 通信时的流量特征与行为。 一般基本的profile一般包括以下基本部分: 公共配置 https证书
RedWarden:Cobalt Strike C2反向代理_c2reverseproxy(1)
最新发布
2401_83621095的博客
04-18 723
RedWarden可以充当HTTP/HTTPS反向代理,并对入站C2 HTTP请求施加若干限制,选择将哪些数据包定向到Teamserver以及需要丢弃哪些数据包,类似于Apache2的mod_rewrite中强制执行的.htaccess文件限制。RedWarden的创建是为了解决C2重定向器层上的IR/AV/EDRs/沙盒规避问题,它的目的是取代经典的Apache2+mod_rewrite设置。根据以下三种策略,无效数据包可能会被错误路由:重定向:将节点重定向至其他网站;
CobaltSrtike Malleable C2 Profile编写
qq_45434762的博客
06-17 1848
什么是 Malleable C2 ProfileMalleable C2 Profile是一个可以控制CobaltStrike流量特征的文件,可以通过修改配置文件来改变流量特征,从而躲避各...
CobaltStrike使用教程详解(基础)
逍遥小哥的博客
07-14 1万+
大家好,今天简单来聊聊CobaltStrike,这是我们后渗透阶段必不可少的神器。Cobalt Strike 是一款流行的渗透测试工具,广泛用于红队操作和渗透测试。它由Raphael Mudge创立的Strategic Cyber LLC开发,并于2012年首次发布。Cobalt Strike 提供了一套功能强大的工具和框架,用于模拟网络攻击、横向移动、特权升级、持久化访问以及命令和控制等任务。它旨在帮助安全专业人员评估和改善组织的网络防御能力,同时提供了完整的红队操作平台。
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
热门推荐
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
Cobalt Strike malleable C2使用(子篇7)
yyj1781572的博客
11-22 420
Cobalt Strike malleable C2使用
RedWarden:Cobalt Strike C2反向代理
weixin_43977912的博客
07-04 576
关于RedWarden RedWarden是一款功能强大的Cobalt Strike C2反向代理,可以帮助广大研究人员通过数据包审查和CobaltStrikeMalleable配置关联分析实现针对蓝队、反病毒产品、终端安全响应系统(EDR)以及扫描器的抵御和对抗。 红队研究人员一直都在研究如何对抗事件响应工具的误导,尤其是涉及到C2重定向网络的时候。那么RedWarden将这些想法整合到了一个轻量级实用程序中,并能够模仿Apache2作为简单HTTP(s)反向代理。 RedWarden运行机制 工具.
cobaltstrike使用
09-14
为了使用CobaltStrike工具,首先需要安装Java环境。根据引用中的信息,在Kali系统上使用jdk11,在两台Windows 7系统上使用jdk1.8。 使用CobaltStrike的详细步骤如下: 1. 启动CobaltStrike团队服务器,可以使用命令"./teamserver 192.168.3.130 passwd"。 2. 客户端连接到团队服务器。 3. 配置监听器,以便监控目标系统。 4. 生成木马,可以通过CobaltStrike生成恶意软件。 5. 进行权限提升、命令执行以及内网渗透等操作。 6. 加载插件,可以扩展CobaltStrike的功能。 7. 执行命令等操作,进行渗透测试。 8. 查看主机的文件和文件夹结构信息等。 9. 进行横向移动,实现在内网中移动和渗透。 使用CobaltStrike工具需要一定的技术和安全知识。请确保你在合法的环境下使用该工具,并遵守相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值