安全矩阵

 找回密码
 立即注册
搜索
查看: 5737|回复: 0

C2上线操作 修改特征

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-11-20 08:06:23 | 显示全部楼层 |阅读模式
原文链接:C2上线操作 修改特征

前言

今天一起来学习下C2修改特征 DNS与CDN上线
更多学习内容可以前往公开知识库 wiki.wgpsec.org


一、基础设施搭建


C2翻译本:https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf

基础使用
  1. 服务器配置
  2. yum insatll java # java环境搭建
  3. chmod 777 teamserver # teamserver加权
复制代码
修改特征

  1. firewall-cmd --zone=public --add-port=8080/tcp --permanent #放行端口
  2. firewall-cmd --reload # 重载配置文件
  3. firewall-cmd --query-port=8080/tcp # 查看是否开放
  4. firewall-cmd --list-ports # 查看放行情况
复制代码




修改后

端口修改

  1. vim teamserver # 修改配置文件
复制代码

​修改为你想要的端口

去除默认证书信息

  1. keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"
复制代码
默认证书信息,特征明显



2、运行C2

运行C2:
  1. ./teamserver <VPS的IP> <登录密码> <混淆文件> # 临时使用
复制代码

  1. nohup ./teamserver <VPS的IP> <登录密码> <混淆文件> & #后台挂起
复制代码



客户端连接C2服务器:

用户名随意写,密码为启动时的密码、端口为配置文件中设置的端口,记得放行
配置基监听:基本监听被分析后会直接找到你的服务器:

配置一个木马并运行:



三、cdn上线


前提:一台VPS、一个域名、CF账号
原理是CDN的IP是多个域名共用的,为了做到精确判断,CDN会解析我们的HOST头,根据这样的方式进行判断通信域名,举一个例子来说:aaa.com 和 bbb.com 共用一个厂家的CDN,我们使用访问 aaa.com 的时候,将请求中的HOST头改为 bbb.com ,就会直接到 bbb.com 的首页,具体如下:

  1. nslookup abaokris.cn # 解析我的博客的网址
复制代码




  1. curl <其中一个IP> -H 'Host:abaokris.cn' -v # 查看一下结果
复制代码



通过 curl 请求IP + host 头的方式成功的解析到我的服务器
利用好这样的方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2的服务器
添加完成以后解析一下我们的网站:



得到解析的网站,打开C2客户端配置一下监听:

这里的端口配置需要CF支持的端口
Cloudflare支持的HTTP端口是:80,8080,8880,2052,2082,2086,2095
Cloudflare支持的HTTPs端口是:443,2053,2083,2087,2096,8443
生成C2的马子,查看是否上线


4、DNS上线


需要一个 vps、一个域名、一个CF

DNS上线适用于:从外网拿到webshell后,发现目标主机只有dns出网,而且为了自身安全(遵守网络安全法,不进小黑屋)需要做一些反溯源的操作。我们就可以使用DNS的方式进行
首先需要在 CF 添加一个A记录指向 VPS ,然后添加两个 NS 记录,指向我们添加的A记录:


添加完成后我们需要在服务器关关闭53端口的服务,并且开放 UDP服务,因为我们的DNS是走的UDP:
lsof -i :53 # 查看53端口的服务systemctl stop pdns.servic # 关闭服务

打开UDP服务:

  1. firewall-cmd --zone=public --add-port=53/udp --permanent # 开放53的UDP服务
  2. firewall-cmd --reload  # 重启
复制代码



然后配置我们的C2监听:

如果你只设置了一个,也可以只填一个ns。
创建木马,这里选择无状态的马子:

上线成功后,我们的主机是一个黑色的,需要我们在beacon中输入checkin 和 mode dns-txt回连到我们的C2:



DNS上线成功












回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 11:40 , Processed in 0.012956 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表