CS服务器隐匿自身操作-安全小天地

很多工具都带有自己的特征，像sqlmap、awvs等扫描器，一旦开扫就很容易被waf ban掉。内网的设备也捕获了一些工具的流量特征，像CobaltStrike本来是钓鱼的，结果因为没有隐匿自身特征反被上线。

本文主要是从修改默认端口、替换SSL证书、修改C2.profile文件三方面进行隐匿自己特征。

修改默认端口
vim teamserver，修改50050为50000
替换SSL证书
Keytool是一个Java数据证书的管理工具,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中,即store后缀文件中。

查看证书：keytool -list -v -keystore cobaltstrike.store，输入默认密码123456。可以看到别名和证书的所有者包含CS的一些特征。

默认是CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth，修改为
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias aaaa -dname “CN=aaa, OU=aaa, O=aaa, L=aaa, S=aaa, C=aaa”
后来我发现这个证书并没有替换原先的，而是在此基础上添加证书内容，因此我把原来的cobaltstrike.store删除，重新生成一个新证书
keytool -genkey -alias test -keyalg RSA -validity 36500 -keystore test.store

查看新证书
keytool -list -v -keystore test.store

载入文件
修改C2.profile文件

c2lint校验配置文件能否通过

生成成功。
启动teamserver，上线服务器

文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除

安全小天地的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。安全小天地拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：anquanclub@foxmail.com

THE END