C2上线操作 修改特征

声明

本文作者：北美第一突破手

本文字数：1270

阅读时长：10分支

附件/链接：点击查看原文下载

声明：请勿用作违法用途，否则后果自负

本文属于WgpSec原创奖励计划，未经许可禁止转载

前言

今天一起来学习下C2修改特征 DNS与CDN上线

更多学习内容可以前往公开知识库 wiki.wgpsec.org

一、

基础设施搭建

C2翻译本：https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf

基础使用

服务器配置
yum insatll java # java环境搭建
chmod 777 teamserver # teamserver加权

修改特征

firewall-cmd --zone=public --add-port=8080/tcp --permanent #放行端口
firewall-cmd --reload # 重载配置文件
firewall-cmd --query-port=8080/tcp # 查看是否开放
firewall-cmd --list-ports # 查看放行情况

修改后

端口修改

vim teamserver # 修改配置文件

修改为你想要的端口

去除默认证书信息

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 360.com -dname "CN=US, OU=360.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"

默认证书信息，特征明显

• 二、 运行C2

运行C2:

./teamserver <VPS的IP> <登录密码> <混淆文件> # 临时使用

nohup ./teamserver <VPS的IP> <登录密码> <混淆文件> & #后台挂起

客户端连接C2服务器：

用户名随意写，密码为启动时的密码、端口为配置文件中设置的端口，记得放行

配置基监听：基本监听被分析后会直接找到你的服务器：

配置一个木马并运行：

三、 CDN上线

前提：一台VPS、一个域名、CF账号

原理是CDN的IP是多个域名共用的，为了做到精确判断，CDN会解析我们的HOST头，根据这样的方式进行判断通信域名，举一个例子来说：aaa.com 和 bbb.com 共用一个厂家的CDN，我们使用访问 aaa.com 的时候，将请求中的HOST头改为 bbb.com ，就会直接到 bbb.com 的首页，具体如下：

nslookup abaokris.cn # 解析我的博客的网址

curl <其中一个IP> -H 'Host:abaokris.cn' -v # 查看一下结果

通过 curl 请求IP + host 头的方式成功的解析到我的服务器

利用好这样的方式我们可以申请一个域名，然后使用 CF 进行操作，申请成功域名后再到 CF中进行配置解析：添加两个A记录到C2的服务器

添加完成以后解析一下我们的网站：

得到解析的网站，打开C2客户端配置一下监听：

这里的端口配置需要CF支持的端口

Cloudflare支持的HTTP端口是：80,8080,8880,2052,2082,2086,2095 Cloudflare支持的HTTPs端口是：443,2053,2083,2087,2096,8443

生成C2的马子，查看是否上线

四、 DNS上线

需要一个 vps、一个域名、一个CF

DNS上线适用于：从外网拿到webshell后，发现目标主机只有dns出网，而且为了自身安全(遵守网络安全法，不进小黑屋)需要做一些反溯源的操作。我们就可以使用DNS的方式进行

首先需要在 CF 添加一个A记录指向 VPS ，然后添加两个 NS 记录，指向我们添加的A记录：

添加完成后我们需要在服务器关关闭53端口的服务，并且开放 UDP服务，因为我们的DNS是走的UDP：

lsof -i :53 # 查看53端口的服务
systemctl stop pdns.servic # 关闭服务

打开UDP服务：

firewall-cmd --zone=public --add-port=53/udp --permanent # 开放53的UDP服务
firewall-cmd --reload  # 重启

然后配置我们的C2监听：

如果你只设置了一个，也可以只填一个ns。

创建木马，这里选择无状态的马子：

上线成功后，我们的主机是一个黑色的，需要我们在beacon中输入checkin 和 mode dns-txt回连到我们的C2:

DNS上线成功

持续更新中，关注公众号可阅读最新内容~

后记

团队SRC招人~ 有意者简历 ev@wgpsec.org

WgpSec狼组安全团队