原文链接:C2上线操作 修改特征
前言
今天一起来学习下C2修改特征 DNS与CDN上线
更多学习内容可以前往公开知识库 wiki.wgpsec.org
一、基础设施搭建
C2翻译本:https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf
基础使用
- 服务器配置
- yum insatll java # java环境搭建
- chmod 777 teamserver # teamserver加权
复制代码 修改特征
- firewall-cmd --zone=public --add-port=8080/tcp --permanent #放行端口
- firewall-cmd --reload # 重载配置文件
- firewall-cmd --query-port=8080/tcp # 查看是否开放
- firewall-cmd --list-ports # 查看放行情况
复制代码
修改后
端口修改
修改为你想要的端口
去除默认证书信息
- keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"
复制代码 默认证书信息,特征明显
2、运行C2
运行C2:
- ./teamserver <VPS的IP> <登录密码> <混淆文件> # 临时使用
复制代码
- nohup ./teamserver <VPS的IP> <登录密码> <混淆文件> & #后台挂起
复制代码
客户端连接C2服务器:
用户名随意写,密码为启动时的密码、端口为配置文件中设置的端口,记得放行
配置基监听:基本监听被分析后会直接找到你的服务器:
配置一个木马并运行:
三、cdn上线
前提:一台VPS、一个域名、CF账号
原理是CDN的IP是多个域名共用的,为了做到精确判断,CDN会解析我们的HOST头,根据这样的方式进行判断通信域名,举一个例子来说:aaa.com 和 bbb.com 共用一个厂家的CDN,我们使用访问 aaa.com 的时候,将请求中的HOST头改为 bbb.com ,就会直接到 bbb.com 的首页,具体如下:
- nslookup abaokris.cn # 解析我的博客的网址
复制代码
- curl <其中一个IP> -H 'Host:abaokris.cn' -v # 查看一下结果
复制代码
通过 curl 请求IP + host 头的方式成功的解析到我的服务器
利用好这样的方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2的服务器
添加完成以后解析一下我们的网站:
得到解析的网站,打开C2客户端配置一下监听:
这里的端口配置需要CF支持的端口
Cloudflare支持的HTTP端口是:80,8080,8880,2052,2082,2086,2095
Cloudflare支持的HTTPs端口是:443,2053,2083,2087,2096,8443
生成C2的马子,查看是否上线
4、DNS上线
需要一个 vps、一个域名、一个CF
DNS上线适用于:从外网拿到webshell后,发现目标主机只有dns出网,而且为了自身安全(遵守网络安全法,不进小黑屋)需要做一些反溯源的操作。我们就可以使用DNS的方式进行
首先需要在 CF 添加一个A记录指向 VPS ,然后添加两个 NS 记录,指向我们添加的A记录:
添加完成后我们需要在服务器关关闭53端口的服务,并且开放 UDP服务,因为我们的DNS是走的UDP:
lsof -i :53 # 查看53端口的服务systemctl stop pdns.servic # 关闭服务
打开UDP服务:
- firewall-cmd --zone=public --add-port=53/udp --permanent # 开放53的UDP服务
- firewall-cmd --reload # 重启
复制代码
然后配置我们的C2监听:
如果你只设置了一个,也可以只填一个ns。
创建木马,这里选择无状态的马子:
上线成功后,我们的主机是一个黑色的,需要我们在beacon中输入checkin 和 mode dns-txt回连到我们的C2:
DNS上线成功
|