防溯源—使用CDN上线CS详细教程 附踩坑笔记

Meng0f

防溯源—使用CDN上线CS详细教程 附踩坑笔记

转载于： 七 [url=]每天一个入狱小技巧[/url] 2021-11-24 08:30

0x01 目的

攻击者通过CDN节点将流量转发到真实的C2服务器，其中CDN节点ip通过识别请求的Host头进行流量转发，隐蔽自己的真实IP,从而实现绕过流量分析。

0x02 前期准备

• Cobalt Strike
• 公网VPS服务器
• 域名、CDN、HTTPS证书(高隐匿)
  
  

0x03 域名、CDN申请
域名申请

这里推荐一个免费的域名申请站点Freenom - A Name for Everyone如果只是临时的话可以从这里注册一个，不需要实名～

CDN代理设置

配置CDN，这里使用腾讯云CDN,域名需备案（免备案CDN地址https://dash.cloudflare.com/可以配合freenom站申请的域名使用）

域名解析配置

将地址配置到DNS解析中即可，不会配置的可咨询腾讯客服，或者点击第三列的那个一键配置

0x04 C2配置、主机上线

C2服务端配置

从https://github.com/rsmudge/Malleable-C2-Profiles/edit/master/normal/下载profile配置文件，自己也可以diy一个。

配置好之后启动C2服务：./teamserver vpsip password xxxx.profile

启动服务

客户端配置

创建新的监听端口(很多都说未被占用的即可，纯属扯淡！！！！使用腾讯云的CDN的监听端口必须设置为80，443，8080，原因如下。)，http协议创建后门文件，成功上线。

注：如果使用CloudFlare的CDN

Cloudflare支持的HTTP端口是：80,8080,8880,2052,2082,2086,2095

Cloudflare支持的HTTPs端口是：443,2053,2083,2087,2096,8443

创建监听

不知道CDN解析的ip怎么填可以去多个地点ping服务器-网站测速-站长工具使用全国各地ping一下，然后随便写几个ip即可

上线-1

winshark抓包未看到自己vps服务器ip,受害主机外连ip均为cdn IP地址

SSL证书加密上线

如果想要使用ssl加密上线,可以在腾讯云或者其他平台申请一个证书，将证书导入到CDN配置中。

创建/导入证书

证书配置

https协议创建后门,成功上线。

https

上线

winshark抓包未发现自己真是ip,均为CDN IP,并且全都是加密传输