CS服务器隐匿自身操作

很多工具都带有自己的特征,像sqlmap、awvs等扫描器,一旦开扫就很容易被waf ban掉。内网的设备也捕获了一些工具的流量特征,像CobaltStrike本来是钓鱼的,结果因为没有隐匿自身特征反被上线。

本文主要是从修改默认端口、替换SSL证书、修改C2.profile文件三方面进行隐匿自己特征。

  1. 修改默认端口
    vim teamserver,修改50050为50000
  2. 替换SSL证书
    Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即store后缀文件中。
    图片[1]-CS服务器隐匿自身操作-安全小天地
    查看证书:keytool -list -v -keystore cobaltstrike.store,输入默认密码123456。可以看到别名和证书的所有者包含CS的一些特征。
    图片[2]-CS服务器隐匿自身操作-安全小天地
    默认是CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth,修改为
    keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias aaaa -dname “CN=aaa, OU=aaa, O=aaa, L=aaa, S=aaa, C=aaa”
    后来我发现这个证书并没有替换原先的,而是在此基础上添加证书内容,因此我把原来的cobaltstrike.store删除,重新生成一个新证书
    keytool -genkey -alias test -keyalg RSA -validity 36500 -keystore test.store
    图片[3]-CS服务器隐匿自身操作-安全小天地
    查看新证书
    keytool -list -v -keystore test.store
    图片[4]-CS服务器隐匿自身操作-安全小天地
    载入文件
  3. 修改C2.profile文件
    图片[5]-CS服务器隐匿自身操作-安全小天地
    c2lint校验配置文件能否通过
    图片[6]-CS服务器隐匿自身操作-安全小天地
    图片[7]-CS服务器隐匿自身操作-安全小天地
    生成成功。
  4. 启动teamserver,上线服务器
    图片[8]-CS服务器隐匿自身操作-安全小天地

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容