CobaltStrike流量逃避.md

配置CDN隐藏IP

SSL证书一定要选择完全加密,若选择灵活加密的话会出现这种情况:比如你的C2 https监听端口是443,CDN会将beacon发过来的流量转发至你C2服务器的80端口而不是443端口,从而导致无法上线,如下是CloudFlare免费支持的端口:

http:
80、8080、8880、2052、2082、2086、2095
https:
443、2053、2083、2087、2096、8443
image-20240925163953937

除此之外页面规则还需要配置缓存绕过,就拿jquery-c2.4.8.profile举例,beacon与C2的jquery-3.3.2.min.js页面进行数据交互,我们需在页面规则将后缀为.js的页面的缓存设置为绕过

image-20240925164316940

profile文件也需要稍微修改下,在http-gethttp-post块处需将host字段设置为域名地址

image-20240925182415719

或者你可以不在profile修改host字段,在客户端gui界面添加监听器时填写Https Host Header

image-20240927152431518

这时你会发现执行命令没有回显,解决方法是修改profile文件,将http-posthttp-get块中的Content-Type值修改为如下所示

header "Content-Type" "application/*; charset=utf-8";

防止beacon配置泄露

当使用nmap配合grab_beacon_config.nse脚本来扫描C2服务器时,可以发现beacon的配置信息已经泄露了

image-20240925224527356

但是如果扫描配置了cdn的C2域名,就发现不了beacon的配置信息

image-20240925232833828

为了以防万一,最好将泄露了beacon信息的接口删掉,可以在Sites面板将stager和或stager64删除掉,又或者在profile将 host_stage字段设置为false,其实最好的方法就是修改beacon.dll的二进制内容,这里就不详细去讲了

image-20240925233001728
image-20240925234647220

上一页流量检测逃避下一页MSF流量加密.md

最后更新于