host文件修改_C2上线操作 修改特征

最新推荐文章于 2023-11-23 15:23:13 发布
最新推荐文章于 2023-11-23 15:23:13 发布
阅读量445 收藏
点赞数
文章标签: host文件修改 修改host文件

点击蓝字

5b04a962bca5e26509fc092a3fac1c9b.gif

关注我们

声明

本文作者:北美第一突破手

本文字数:1270

阅读时长:10分钟

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于WgpSec原创奖励计划,未经许可禁止转载

前言

今天一起来学习下C2修改特征 DNS与CDN上线

更多学习内容可以前往公开知识库 wiki.wgpsec.org

一、

基础设施搭建

C2翻译本:https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf

基础使用

服务器配置
yum insatll java # java环境搭建
chmod 777 teamserver # teamserver加权

修改特征

firewall-cmd --zone=public --add-port=8080/tcp --permanent #放行端口
firewall-cmd --reload # 重载配置文件
firewall-cmd --query-port=8080/tcp # 查看是否开放
firewall-cmd --list-ports # 查看放行情况

12c71db005b1e3fd0be9a4d92a2e2868.png

081b3c2ae4589986c7a318574731fee9.png

修改后

83c655a0064961ec3d9271228442057b.png

端口修改

vim teamserver # 修改配置文件
ed60b91a9134494d9717a302b1028560.png 修改为你想要的端口 去除默认证书信息 
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"

默认证书信息,特征明显

  • 二、

    运行C2

运行C2:

./teamserver    # 临时使用
nohup ./teamserver    & #后台挂起

6315e87b265dd485c3ede59c63332710.png

客户端连接C2服务器:

b21c306f1a61153c7093e91588ca13e0.png

用户名随意写,密码为启动时的密码、端口为配置文件中设置的端口,记得放行

配置基监听:基本监听被分析后会直接找到你的服务器:

25941d1c2daa0093d7168db71d7d2ddb.png

配置一个木马并运行:

三、

CDN上线

前提:一台VPS、一个域名、CF账号

原理是CDN的IP是多个域名共用的,为了做到精确判断,CDN会解析我们的HOST头,根据这样的方式进行判断通信域名,举一个例子来说:aaa.com 和 bbb.com 共用一个厂家的CDN,我们使用访问 aaa.com 的时候,将请求中的HOST头改为 bbb.com ,就会直接到 bbb.com 的首页,具体如下:

nslookup abaokris.cn # 解析我的博客的网址

c1a6d93ed90fceb9ff4ceb7363076732.png

curl  -H 'Host:abaokris.cn' -v # 查看一下结果

c64b915d41bffb279b07bcf64bd824eb.png

通过 curl 请求IP + host 头的方式成功的解析到我的服务器

利用好这样的方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2的服务器

添加完成以后解析一下我们的网站:2ce13c06300311f47f0f3ddbc5dea273.png

得到解析的网站,打开C2客户端配置一下监听:

044511d6304c8138256ca7dbdbf2429d.png

这里的端口配置需要CF支持的端口

Cloudflare支持的HTTP端口是:80,8080,8880,2052,2082,2086,2095

Cloudflare支持的HTTPs端口是:443,2053,2083,2087,2096,8443

生成C2的马子,查看是否上线

6012524d6a97787cd15f8a91091925c0.png

四、

DNS上线

需要一个 vps、一个域名、一个CF

DNS上线适用于:从外网拿到webshell后,发现目标主机只有dns出网,而且为了自身安全(遵守网络安全法,不进小黑屋)需要做一些反溯源的操作。我们就可以使用DNS的方式进行

首先需要在 CF 添加一个A记录指向 VPS ,然后添加两个 NS 记录,指向我们添加的A记录:e20068f842ccf29ed6e5ee6af9d811e5.png

添加完成后我们需要在服务器关关闭53端口的服务,并且开放 UDP服务,因为我们的DNS是走的UDP:

lsof -i :53 # 查看53端口的服务
systemctl stop pdns.servic # 关闭服务

d73bf943425fc0ca1efcede79d20ee15.png

打开UDP服务:

firewall-cmd --zone=public --add-port=53/udp --permanent # 开放53的UDP服务
firewall-cmd --reload  # 重启

c1a7c78d06f3aacfb55e9ae830cba8c2.png

然后配置我们的C2监听:

cb27a80beade3c0750f119b11cd5a477.png

如果你只设置了一个,也可以只填一个ns。

创建木马,这里选择无状态的马子:

583baf0ee711b61e4f349e7d67b6e030.png

上线成功后,我们的主机是一个黑色的,需要我们在beacon中输入checkinmode dns-txt回连到我们的C2:

dd242a892ca2e92e2a278d9c1935d3c1.png

57f191292486ff95761a6184ad3d93fc.png

4c14f97279cde21fe5ce461e90b4fccd.png

DNS上线成功

持续更新中,阅读原文可阅读最新内容~

后记

团队SRC招人~ 有意者简历 ev@wgpsec.org

526fa675257e4552a736a591460391c2.png

扫描关注公众号回复加群

和师傅们一起讨论研究~

WgpSec狼组安全团队

微信号:wgpsec

Twitter:@wgpsec

52d335b99e5208e0d0d134ef270196d4.png 0e19420cc7a7bd7c7a9eee41622f52e8.gif
weixin_39776817
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
macos:使用CrossC2上线macos至C2
问题很多的小明
10-07 647
目录 修改cna文件修改c2profile.c以及https.profile 执行上线: 项目地址:https://github.com/gloxec/CrossC2 API文档以及相关资料:cna Demo · GitBook 直接下载项目,主要文件genCrossC2.MacOS以及profile配置文件和.c文件 修改cna文件: 然后加载至C2 修改c2profile.c以及https.profile 要和和C2监听服务端的https beaconip/域名端口一..
文件落地攻击手法
最新发布
墨痕诉清风的博客
04-28 170
文件落地攻击()是一种高级的网络攻击技术,它利用操作系统或应用程序的漏洞,通过在内存中运行恶意代码而不在受攻击系统上留下任何可检测的文件痕迹。与传统的恶意软件攻击不同,无文件攻击不需要依赖传统的恶意软件文件来实施攻击,从而增加了攻击的隐蔽性和成功率。无文件攻击通常利用合法的系统工具和功能,如PowerShellWMI)、注册表等,来执行恶意代码。攻击者可以通过操纵这些合法工具来加载和执行恶意代码,并将其驻留在受害系统的内存中。由于没有文件被写入磁盘,传统的防病毒软件和安全工具难以检测到这种类型的攻击。
Cobalt Strike生成证书,修改C2 profile流量加密混淆
m0_50526465的博客
05-06 3647
Cobalt Strike生成证书,修改C2 profile流量加密混淆 Cobalt Strike就不多介绍了,懂得都懂 本次实验环境 kali Cobalt Strike 4.1 生成免费的SSL证书 Cobalt Strike默认使用的cobaltStrike.store证书,默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现 keytool工具介绍 Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore
C2的几种常见的流量特征举例总结
Fiverya的博客
11-23 1214
以下为几种常见的C2流量特征
C2服务器隐藏与Linux上线
渗透测试研究中心
02-27 332
工具准备国外服务器一台自由鲸(VPN)CS 4.4nginxCS服务端配置服务器禁ping1、当服务器禁ping后,从某种角度可以判定为主机为不存活状态。2、编辑文件/etc/sysctl.conf,在里面增加一行。net.ipv4.icmp_echo_ignore_all=1之后使命命令sysctl -p使配置生效。vim /etc/sysctl.conf net.ipv4.icmp_echo...
域前置技术和C2隐藏
蚁景网安学院
11-09 1491
域前置又译为域名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
更改配置本地host地址
陈新科的博客
05-12 1万+
  Hosts是一个没有扩展名的系统文件,主要作用是定义IP地址和主机名的映射关系,就是将一些常用的域名网址与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,如果找到,系统会立即打开对应网页,若没有找到,则系统会再将网址提交DNS域名解析服务器进行IP地址的解析,若发现是被屏蔽的IP或域名,就会禁止打开此网页!   一、hosts文件的位置:   方法一:   windows系统下,在开始—...
kali修改文件权限不够_Linux下的权限维持
weixin_39956036的博客
10-21 2085
Linux权限维持0X00 关于权限维持什么是权限维持?我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制住目标.0X01 获得初始权限Linux有很多种反弹shell的方法,反弹shell的好处主要是操作过程中会更加方便,对我个人来说,主要是命令补全,总之,从权限维持的角度来说,可以更好的去执行一些操作.能否反弹shell,要根...
CobalStrike 4.0 生成后门几种方式 及 主机上线后基础操作
Ms08067安全实验室
01-22 2005
出品|MS08067实验室(www.ms08067.com)本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):步骤:Attacks—〉Pa...
Vue+Spring boot项目部署上线
Fantexi5937的博客
08-24 672
后端 一.准备工作 1.WinSCP(本机windows给云端Linux传输文件) 2.Xshell(操作云端Linux的终端窗口) 3.Navicat(连接云端Mysql) 4.云端环境搭建 (1)安装JDK (2)安装Tomcat (3)安装Mysql 二.打包代码 1.pom中引入以下代码 <build> <finalName>web-master</finalName> <plugins> &lt
NPS连接通信特征分析
weixin_48419704的博客
08-15 277
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + S
内网渗透神器CobaltStrike之DNS Beacon(四)
xf555er的博客
11-19 1450
利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。
Cobalt Strike(三)DNS beacon 的使用与原理
qq_56426046的博客
09-19 1337
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
DNS隧道
03-31 5218
简介 本片文章主要介绍如何使用DNS隧道对内网进行穿透,搭建隧道,使得外网机器可以直接访问内网主机,DNS隧道也是比较常见的搭建隧道的方式。 DNS基础 DNS简介 DNS协议主要就是用来在你访问主机域名的时候查询对应的IP地址并返回给你的协议,计算机是根据IP地址和MAC地址来进行通信的。通过DNS可以将域名(方便记忆)自动转换成IP地址来进行通信,这就是DNS的作用。 查询域名对应的IP地址只是DNS可以查询的记录的一种,常见的可查询记录类型如下 类型 内容 A 域名的IPv4 记录
CobaltStrike上线Linux主机(CrossC2)
谢公子的博客
05-30 6979
在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,CobaltStrike能否对Linux主机进行长期远控呢? 在上一篇文章中我提到了,CobaltStrike自身上线Linux主机的情况,需要知道对方Linux主机的账号密码或SSH秘钥,并且还需要获取一台其他机器权限作为中继。本文中将讲解如何通过在Linux上执行木马反弹一个CobaltStrike类型的shell。 ...
远程控制(command&control,C2)---DNS通道
AG9GgG的博客
05-08 2203
DNS Tunneling DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。 原理 DNS Tunneling可以分为直连和中继两种。 直连:client直接和指定的目标DNS Server(Authoritative NS S...
使用NPS搭建内网穿透
热门推荐
玖涯博客
11-19 2万+
本文环境 CentOS Linux release 7.8.2003 Nps 0.26.9 1. NPS介绍 Nps是一个内网穿透工具,开源。 Github:https://github.com/ehang-io/nps 特征: 全面的协议支持,与几乎所有常用协议兼容,例如tcp,udp,http(s),socks5,p2p,http代理… 全面的平台兼容性(Linux,Windows,MacOS,Synology等),仅支持将安装作为系统服务进行。 全面控制,允许客户端和服务器控制。 Https集
内网安全-流量隧道(一)不出网CS上线&正反向&端口转发
weixin_45701675的博客
04-16 3425
内网-隧道技术
host命令
欢迎访问胡宝全的博客
04-01 2300
host命令 网络测试 host命令是常用的分析域名查询工具,可以用来测试域名系统工作是否正常。 语法 host(选项)(参数) 选项 -a:显示详细的DNS信息; -c:指定查询类型,默认值为“IN“; -C:查询指定主机的完整的SOA记录; -r:在查询域名时,不使用递归的查询方式; -t:指定查询的域名信息类型; -v:显示指令执行的详细信息; -w:如果域名
__HOST_GEN_ECDH_KEY__ usage?
05-12
`__HOST_GEN_ECDH_KEY__` is a preprocessor macro that is used in cryptography applications to generate an Elliptic Curve Diffie-Hellman (ECDH) key pair on the host side. ECDH is a key exchange algorithm that allows two parties to securely establish a shared secret key over an insecure channel. To use `__HOST_GEN_ECDH_KEY__`, you need to include a cryptography library that supports ECDH key generation. The macro is typically used in a program that runs on the host computer, and it generates a key pair that can be used to securely communicate with a device that supports ECDH. Here is an example of how to use `__HOST_GEN_ECDH_KEY__`: ``` #include <crypto/ecdh.h> ECDH_KEYPAIR __HOST_GEN_ECDH_KEY__(void); int main() { ECDH_KEYPAIR keypair = __HOST_GEN_ECDH_KEY__(); // Use the keypair to securely communicate with the device // ... return 0; } ``` Note that the implementation of `__HOST_GEN_ECDH_KEY__` may vary depending on the cryptography library you are using. You should consult the documentation of the library for specific instructions on how to use the macro.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值