文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

【防溯源】如何优雅的隐藏你连接 Webshell 的真实 IP

大家好,这里是 渗透攻击红队 的第 64 篇文章,本公众号会记录一些红队攻击的案例,不定时更新 ?...由于它自带 CDN 这样我们每次请求 Webshell 的时候 IP 都是不同的,从而达到隐藏 RT 的效果!还是那句话,一个合格的 RedTeam 被溯源到是很可耻的!...如何优雅的隐藏你连接 Webshell 的真实 IP 云函数隐藏 Webshell 真实 IP 首先来到腾讯云后台找到云函数,我们使用自定义的模版: ? ?...这个时候 u 参数后面就是你的一句话:http://111.111.111.111/saulGoodman.php https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com...这个时候每次访问 webshell 的 IP 都不一样!从而隐藏了 RT 的真实 IP!

2.2K43

为你的C2配置一个完美的隐藏

,红队的一个c2隐藏技术我觉的非常不错,在加上最近的vultr东京和汉城的节点又能够开通了,所以就有了接下来的一篇文章。...一、 原理 在配置之前我们需要了解一下域前置的技术,简单的来说就是通过CDN节点将流量转发到真实的C2服务器,因为CDN节点ip是通过识别请求的Host头进行流量转,利用我们配置域名的高可信度,比如微软谷歌等...,可以有效的躲避DLP,agent等流量监测,这样就起到了一个隐藏的作用。...,使用服务,域名一年大概只需要20元 CDN的选择 我使用的是免费的CDN,只需要邮箱就能注册 我们知道原理是使用IP的host头来定向我们需要找到的域名,比如我们现在查看我的域名的解析IP地址:...测试一下我们是否能通过host头定位到我们域名: C2配置:配置文件下载,我们下载完成后,需要把所有的域名转换为我们设置的CDN域名: 服务端运行: 然后我们在C2上监听我们的端口,我的运行在

3K40
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    【溯源反制】CDN&域前置&云函数-流量分析|溯源

    CDN隐藏C2地址 使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP...域名必须ICP备案(被溯源的可能性就会更大),关键是使用一个不备案的域名,否则这个方式毫无用处 2、受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险...),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https 域前置隐藏 底层技术还是CDN,但是我们使用了其他正规可靠的域名进行连接...(比如:www.baidu.com),通过设置HOST=zh.wikisoft.tk修改host头的原理,让CDN将连接指向我们期望的C2服务器;最终实现受控主机通过回连!...:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵; 总结 1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征-

    2K10

    当跳板机器不出网,如何不依赖 CobaltStrike 拿到域控?

    随后写了一个 webshell 为了后续有一个半交互的 shell: ? 通过信息搜集发现当前是存在域环境的: ? 发现当前机器 icmp 是不出网的: ?...具体可以参考我这篇文章:【防溯源】如何通过域名 + CDN 完美隐藏你的 C2 由于我写过 DNS 上线相关的文章,在这里我就不使用 DNS + 域名 + CDN 上线到 CobaltStike 了,...Pystinger 在不出网的情况下如何使用 项目地址:https://github.com/FunnyWolf/pystinger 这个东东可以让 Webshell 实现内网 Socks4 代理,让不出网机器上线到...或者其他 C2 才能进行内网渗透!...等有机会我遇到不出网的机器我再重写一篇,针对于不出网机器如何打内网,好了,祝兄弟们好运!

    1.3K41

    利用Domain Borrowing对抗流量检测设备

    借用在某些 CDN 实现中发现的一些技巧,将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量,特别是当我们的 C2 流量的 SNI 和 HOST 相同时。...但是在微步中存在一些官方标记为白名单的域名,对于这样利用Domain Borrowing劫持一些官方标记为白名单的域名用来对抗威胁情报和防止溯源操作。 常用的流量隐藏方法都有什么不足?...目前在国内攻防演练和红队评估中常用来隐藏C2真实IP和伪造通信流量的方法有加CDN(但域名是自己的)、Domain Fronting和云函数。...1.加CDN 加CDN也是常见的红队来隐藏C2真实IP的方法,但是仅仅加个CDN域名还是红队的资产,一样存在被溯源分析的风险,同时域名基本没有信任度给捕捉加入威胁情报之后一定会给设备自动封闭。...同时我们可以通过在CDN和在C2通过Nginx中设置一个流量过滤只允许目标的流量连接到C2,同时也可以把C2的真正端口通过Nginx反向代理出来,C2的真正端口设置为只允许127.0.0.1访问,那么基本上溯源到真正的服务器比较难

    1K20

    隐藏源IP,提高溯源难度的几种方案

    二、使用CDN 一句话核心原理:使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或...方案分析: 适合用户:这种隐藏ip的方案适合于有公网服务器,通过本方案CDN进行“加速、代理、缓存”实现隐藏服务器真实ip或域名的用户;使用国内CDN服务商的产品的域名必须完成ICP实名备案; 优点:利用...缺点:受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP(请一定要按照原文中的参考文章...3.配置listener HTTP Host Header,必须填写你的域名zh.wikisoft.tk,这是CDN技术的原理要求;CDN的ip都一样,如何判断用户访问的时候baidu 还是 qq呢?...防止其他小伙伴扫描hack你的c2服务!

    4.6K30

    【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发

    域前置-CDN隐藏C2真实IP 防止被溯源 国内外云服务上大部分已经不支持域前置了,作者在阿里云刚刚复现成功…… 这里做简单的流程演示和相关的溯源分析 什么是域前置 区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装...就是同服务器上的其它一个高可信站点,利用域前置,审查流量时显示的就是高可信域名,而看不到我们的恶意域名,所以可用来逃避流量审查,隐藏真实IP。...emmm 这里拿自己生成的样本payload进行简单溯源 条件:样本Payload, 通过Banner信息测绘与基于样本通信特征扫描的方式获取域前置的真正Host 1、根据已经拿到的资产获取...成功隐藏自己真实IP,因为IP不停的在变化,即使封掉该IP也会有其他节点IP进行上线 毕竟使用云函数服务是需要Money的emmm 腾讯云后台云函数API调用数据 云函数如何溯源 最近面蓝护...请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。

    1.7K21

    流量加密之C2隐藏

    所以我们需要加密流量保护CS服务器以免被防守方的安全监控检测出来甚至溯源我们的CS服务器,目前常用的隐藏手段包括域前置、CDN、云函数等,接下来我将介绍这几种常见的隐藏C2的方式。...因此我们可以通过云函数的特性来隐藏CS服务端。...malleable C2 主要通过修改 C2 配置文件、更改 beacon 的 payload 的属性和行为来伪造正常的通信流量。...与云函数类似,域前置技术主要通过CDN节点将流量转发给真实的C2服务器,CDN节点ip可通过识别请求的Host头进行流量转发,利用我们配置域名的高可信度,那么就可以有效躲避针对DLP、agent等流量监测...中成功执行命令并在受害主机上开启 WireShark 抓包在 WireShark 中跑的都是TLS加密流量、目的地址为随机的CDN节点,因此无法溯源到我们C2服务器的真实IP0x03 总结通过这段时间针对流量加密的学习

    13.5K111

    如何隐蔽你的C2

    如何隐蔽你的C2 文章首发于安全客:https://www.anquanke.com/post/id/231448 端口特征修改 证书特征修改 修改服务端证书CobaltStrike.store 修改上线的证书...流量特征修改 SNI域前置 申请配置CDN 配置CS profile文件 开启Listener 生成木马上线 ESNI域前置 ESNI 在红蓝对抗中,如果攻击者不通过手段隐藏C2服务器,这样可能导致C2...以下内容讲述如何通过手段隐蔽C2。 端口特征修改 CobaltStrike的连接端口默认为50050,这是个很明显的特征。...流量特征修改 流量特征修改使用域前置技术,域前置是一种用于隐藏真实C2服务器IP且同时能伪装为与高信誉域名通信的技术,多用于木马受控端和控制端之间的隐蔽通信。...CDN 来隐藏我们的C2服务器),然后再申请一个CDN对我们所申请的域名进行加速,在这个过程中CDN会要求我们在域名的解析配置中设置相应的 CNAME。

    2.2K51

    顶级武器-完全无法检测的cobalt strike

    二、发布内容编号 方案 类型 内容状态1 《完全无法检测的cobalt strike(去全部特征)》平台cobaltstrike基础部署手册(基础设施(匿名域名、服务器、CDN教程))、...2.高级匿名技术(防溯源、防测绘、合法流量)、3.特征移除部分发布一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成:平台指的是运行在服务器上的C2,决定了有效载荷是否能绕过特征检测机制...加载器指的是运行在终端上的程序(通常为白加黑或单可执行文件),加载器用于加载我们的C2有效载荷(payload)至内存。决定了是否能隐蔽运行有效载荷。...途径指的是通过某一种技术投递(如lnk快捷方式),通常是社会工程学。本文发布的是平台部分,加载器及途径将在稍后发出。三、技术简介1.主流杀软全覆盖轻松绕过全球12款杀毒软件,以最先进对最先进。...2.完全匿名高级匿名技术包括边缘域名防测绘,完全的CDN技术,弹性技术:一分钟快速切换前端域名,后端基础设施无需更改,轻松支持合法域名隐蔽通信。而这一切在一台服务器中即可完成!

    51410

    基于 SVG 的钓鱼攻击与 AmateraPureMiner 载荷的 DNS 基础设施分析

    本文以近期活跃的 Amatera Stealer 信息窃取木马与 PureMiner 挖矿程序为研究对象,系统剖析其利用 SVG 文件实施钓鱼攻击的技术路径,并结合 DNS 层面的基础设施特征,揭示攻击者如何通过快变域名...、多层 CNAME 链及公共云服务隐藏真实 C2 服务器。...该活动共关联 25 个恶意域名与 1 个 IP 地址,后续分析显示其 DNS 基础设施高度动态化,大量使用高熵子域、CDN 伪装及多跳 CNAME 解析链,显著增加了溯源与封禁难度。...3.2 PureMiner 行为特征PureMiner 专注于 XMRig 开源挖矿框架的封装与部署,具备以下特性:自动检测 CPU 核心数并调整线程占用,避免系统卡顿引发用户警觉;通过进程注入隐藏自身...本文研究表明,有效防御此类攻击需打破“仅防可执行文件”的思维定式,在邮件处理、终端渲染与网络解析三个环节同步强化控制。

    42610

    从无差别攻击到APT定向攻击:Apifox供应链投毒攻击链路完整剖析

    一、事件概述 1.1 攻击背景 2026 年 3 月,公网 SaaS 版 Apifox 桌面客户端遭遇了一起精心策划的供应链攻击,攻击者通过篡改 CDN 托管的 JavaScript 文件进行投毒,利用...[.]com 恶意域名,多个地区CDN边缘节点都命中了投毒文件,而非原文章提及的有几率命中投毒文件,可以排除网络劫持攻击的可能性。...攻击者精心设计了 C2 域名伪装策略,实现域名隐藏与流量混淆: 分析维度 分析特征 域名伪装 apifox.it[.]com TLD欺骗 .it.com 商业域名,注册于Namecheap域名商,具有高度伪装性...指纹模拟Chrome浏览器 REALITY协议特性:xray-core 推出的新型安全传输协议,无需域名和TLS证书,通过模拟真实TLS握手实现流量伪装,具备抗指纹识别、前向保密、防证书链攻击等安全特性...AWS、Cloudflare CDN等境外平台,通过域名仿冒、CDN隐匿、基础设施即弃使用降低暴露风险,事件曝光后迅速下线。

    1.6K10

    如何通过隐藏服务器真实IP来防御DDOS攻击

    有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:1、禁用服务器ICMP回显响应互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器...隐藏源站真实IPCDN:当一个服务器被不同地方的客户端大量访问的时候,服务器可能会出现压力,为了减小这些压力,就有CDN的出现。...还有一个作用就是隐藏真实IP。原理让CDN转发合法的http或者https流量来达到隐藏的目的。...效果受害主机上只会有跟CDN的IP通信的流量,不会有跟真实C2通信的流量,可以保护C2的IP,但是域名还是会暴露。3、使用高防IP 什么是高防IP?...高防IP目前最常用的一种防御DDoS攻击的手段,用户可以通过配置DDoS高防IP,将攻击流量引流到高防IP,防护系统进行流量过滤清洗,再把正常的流量返回给服务器,确保源站的正常可用

    1.3K10

    手把手教你如何隐藏C2

    文章来源|MS08067 公众号读者投稿 本文作者:下次一定(白嫖知识星球活动) CDN技术隐藏C2 原理 让cdn转发合法的http或者https流量来达到隐藏的目的。...技术实现重点: 一个不备案的域名,否则这个方式毫无用处 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https 域前置技术隐藏C2 原理 域前置技术就是通过CDN节点将流量转发到真实的...C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。...而一般的监测机制是不会检测host头的。可达到的效果:通过一个高信任域名隐藏自己的真实域名与ip,且受害主机上的流量只有跟cdn通信的,不会有跟真实c2的。...,使用服务,域名一年大概只需要20元 CDN的选择 我使用的是免费的CDN:https://www.cloudflare.com/ 你可以搞到一个免费的CDN只需要邮箱就能注册

    2.7K20

    CobaltStrike主机隐藏教程之穷逼版

    在不少的攻防演练中,许多人都会使用CDN来隐藏真实的主机地址来防止溯源,需要攻击者自行购买带有公网IP的主机以及域名,一旦被发现真实IP地址和域名并被类似微步这样的威胁情报标记,就不得不放弃使用该主机以及域名...以下内容将演示零成本隐藏CobaltStrike主机,仅供技术研究与授权测试,请勿用于非法用途。...演示环境 Kali-Linux-2021.2 Windows 10 专业版 21H1(靶机) 工具清单 cloudflared(基于cloudflare的内网穿透工具) ding(基于钉钉的内网穿透工具...配置监听器 接下来的内容以cloudflared为例,使用ding大同小异。 获取CDN使用的IP ? 配置监听器 ? 测试上线 生成后门 ? 上线成功 ? 主机隐藏测试 ?...通过微步云沙箱检测,完美的隐藏了CS主机的真实IP。

    1.5K30

    当“图片”会执行代码:SVG钓鱼载荷引爆新型供应链攻击,Amatera窃密与PureMiner挖矿暗流涌动

    更令人警惕的是,整个攻击基础设施通过多层DNS别名链、公共云CDN伪装和快变域名(Fast-Flux)技术隐藏真实C2(命令与控制)服务器,使得基于IP或域名的静态封堵几乎失效。...阶段三:C2通信与持久化(C2 & Persistence)C2基础设施采用多层DNS伪装:域名注册于NiceNIC、Web Commerce等宽松注册商;使用CNAME链指向Cloudflare、Amazon...CloudFront等公共CDN;真实服务器IP隐藏在CDN背后,难以溯源。....com);多层CNAME链指向公共CDN;域名生命周期极短(注册通过Python脚本查询可疑域名的CNAME链:import dns.resolverdef trace_cname_chain(domain):chain = []current = domainwhile

    27910

    C2上线操作 修改特征

    : 配置一个木马并运行: 三、 CDN上线 前提:一台VPS、一个域名、CF账号 原理是CDN的IP是多个域名共用的,为了做到精确判断,CDN会解析我们的HOST头,根据这样的方式进行判断通信域名,举一个例子来说...abaokris.cn # 解析我的博客的网址 curl -H 'Host:abaokris.cn' -v # 查看一下结果 通过 curl 请求IP + host 头的方式成功的解析到我的服务器...利用好这样的方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2的服务器 添加完成以后解析一下我们的网站: 得到解析的网站,打开C2客户端配置一下监听...)需要做一些反溯源的操作。...=public --add-port=53/udp --permanent # 开放53的UDP服务 firewall-cmd --reload # 重启 然后配置我们的C2监听: 如果你只设置了一个

    1.7K10

    实战填坑 | 隐藏C2域名地址技巧

    哈,恭喜你你肯定被盯上了~ 开个玩笑,话说现在隐藏c2真实地址的手段层出不穷,笔者参考了网上众多隐藏技巧,经过一定的钻研写下了这篇主要隐藏域名的几个思路,但和域前置、云函数技术不同,域前置技术原理: 假设有两个主机...三、匿名CDN & worker 有老哥问了,要是多个c2,还有域名、c2的ip在国内使用,怎么办?...这里的思路是nodecache: ? 注册一个匿名账户,然后通过邮件校验,然后: ? 选择创建服务: ? 把你想添加的子域名写进去: ? 点击cname: ?...最后你会惊奇地发现,刚才添加的http://cmd.winupdateck.top可以在国内访问了。其实原理是在cloudflare添加子域名指向国内是受监管的,换一个cdn服务商而已。...五、总结 以上几个思路其实结合起来并不难,无非就是域名身后单纯CDN可隐藏ip,域名黑了再申一个。 爱惜域名的话,把域名再代理一下,深中更深地隐藏啊。

    7.6K10

    第64篇:史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)

    Sunburst:这是一款极其复杂且隐蔽的后门,当用户运行Orion安装包之后,这款后门会等待12到14天后触发,然后使用DGA域名通信方式,将受控服务器的域名、计算机名等初始信息发送给C2服务端。...无意中留下后门样本 攻击者在隐藏自身及过流量检测方面做到了极致,以至于安全团队在溯源这起攻击事件时耗费时间长达数月之久。...当C2域名解析的IP地址为20.140.0.0/15时,Sunburst后门会永久终止运行(攻击者非常聪明,控制C2的域名解析到不同的IP,然后Sunburst后门会根据域名解析ip的情况去执行不同的操作...在此次攻击事件溯源的最初的几天里,团队们被要求只能通过电话和外部账户进行沟通,防止攻击者通过监视邮件往来得知溯源工作的最新情况。 6....后续ABC_123会专门写文章介绍Sunburst后门的设计思路,如何绕过层层流量监控以及美国网络安全公司如何将此次攻击事件溯源出来的,敬请期待。

    1.6K20

    高防IP与CDN该如何选择

    高防IP与CDN该如何选择1.IP数量高防IP都是一个IP防护,并且是单IP独享,而CDN都是共享IP。而CDN是一组IP防护,而且都是共享IP。...当然如果你网站被大量攻击有误杀率是很正常的,没有哪家公司敢保证100%零误杀但是希望的是能减少损失。...服务器用CDN和高防IP的区别3.隐藏源站高防CDN对外暴露的是各节点的共享IP地址段,通过CDN节点IP实现对源站的业务转发,攻击者无法通过业务交互获取真实的用户源站,从而保障了源站的安全。...4.业务方向高防CDN主要是针对网站业务,主要是通过域名访问的防御,所以限定开放端口是80、443,这两个端口主要是HTTP和HTTPS的端口,因此使用其他端口的业务是不能使用高防CDN的。...高防IP针对的是服务器的IP防护,而不是域名,所以支持的业务比较多,像APP、网站业务、游戏、软件等都是可以的。而且高防IP是支持全端口转发的,可以自义端口转发防护。

    4.4K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券