C2上线操作 修改特征

2021-02-04 17:59:37 浏览数 (1)

声明

本文作者:北美第一突破手

本文字数:1270

阅读时长:10分支

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于WgpSec原创奖励计划,未经许可禁止转载

前言

今天一起来学习下C2修改特征 DNS与CDN上线

更多学习内容可以前往公开知识库 wiki.wgpsec.org

一、

基础设施搭建

C2翻译本:https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf

基础使用

代码语言:javascript复制
服务器配置
yum insatll java # java环境搭建
chmod 777 teamserver # teamserver加权

修改特征

代码语言:javascript复制
firewall-cmd --zone=public --add-port=8080/tcp --permanent #放行端口
firewall-cmd --reload # 重载配置文件
firewall-cmd --query-port=8080/tcp # 查看是否开放
firewall-cmd --list-ports # 查看放行情况

修改后

端口修改

代码语言:javascript复制
vim teamserver # 修改配置文件

修改为你想要的端口

去除默认证书信息

代码语言:javascript复制
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"

默认证书信息,特征明显

  • 二、 运行C2

运行C2:

代码语言:javascript复制
./teamserver <VPS的IP> <登录密码> <混淆文件> # 临时使用
代码语言:javascript复制
nohup ./teamserver <VPS的IP> <登录密码> <混淆文件> & #后台挂起

客户端连接C2服务器:

用户名随意写,密码为启动时的密码、端口为配置文件中设置的端口,记得放行

配置基监听:基本监听被分析后会直接找到你的服务器:

配置一个木马并运行:

三、 CDN上线

前提:一台VPS、一个域名、CF账号

原理是CDN的IP是多个域名共用的,为了做到精确判断,CDN会解析我们的HOST头,根据这样的方式进行判断通信域名,举一个例子来说:aaa.com 和 bbb.com 共用一个厂家的CDN,我们使用访问 aaa.com 的时候,将请求中的HOST头改为 bbb.com ,就会直接到 bbb.com 的首页,具体如下:

代码语言:javascript复制
nslookup abaokris.cn # 解析我的博客的网址
代码语言:javascript复制
curl <其中一个IP> -H 'Host:abaokris.cn' -v # 查看一下结果

通过 curl 请求IP host 头的方式成功的解析到我的服务器

利用好这样的方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2的服务器

添加完成以后解析一下我们的网站:

得到解析的网站,打开C2客户端配置一下监听:

这里的端口配置需要CF支持的端口

Cloudflare支持的HTTP端口是:80,8080,8880,2052,2082,2086,2095 Cloudflare支持的HTTPs端口是:443,2053,2083,2087,2096,8443

生成C2的马子,查看是否上线

四、 DNS上线

需要一个 vps、一个域名、一个CF

DNS上线适用于:从外网拿到webshell后,发现目标主机只有dns出网,而且为了自身安全(遵守网络安全法,不进小黑屋)需要做一些反溯源的操作。我们就可以使用DNS的方式进行

首先需要在 CF 添加一个A记录指向 VPS ,然后添加两个 NS 记录,指向我们添加的A记录:

添加完成后我们需要在服务器关关闭53端口的服务,并且开放 UDP服务,因为我们的DNS是走的UDP:

代码语言:javascript复制
lsof -i :53 # 查看53端口的服务
systemctl stop pdns.servic # 关闭服务

打开UDP服务:

代码语言:javascript复制
firewall-cmd --zone=public --add-port=53/udp --permanent # 开放53的UDP服务
firewall-cmd --reload  # 重启

然后配置我们的C2监听:

如果你只设置了一个,也可以只填一个ns。

创建木马,这里选择无状态的马子:

上线成功后,我们的主机是一个黑色的,需要我们在beacon中输入checkinmode dns-txt回连到我们的C2:

DNS上线成功

持续更新中,关注公众号可阅读最新内容~

后记

团队SRC招人~ 有意者简历 ev@wgpsec.org

WgpSec狼组安全团队

网络安全 网站渗透测试 安全漏洞

0 人点赞