Arma de prueba de penetración [Ataque de cobalto] CDN oculto
Aunque Cobalt Strike es muy conveniente y poderoso en pruebas de penetración, su información característica predeterminada hace que el servidor CS sea fácilmente identificado mediante equipos de monitoreo como el conocimiento de la situación, y el servidor será utilizado por sitios web de inteligencia después de abrir el servidor predeterminado. port Marcado como servidor de ataque, si la contraseña del servidor de equipos es simple, también explotará.
Por lo tanto, es necesario ocultar el flujo y las características de los impactos de cobalto. Este artículo utiliza CDN+ para modificar el método de ocultación de funciones.
El registro aquí utiliza la plataforma www.freenom.com, que requiere iniciar sesión, así que prepare su dirección de correo electrónico con anticipación, ya sea nacional o extranjera.
Consejos:
1. Después de seleccionar el nombre de dominio y registrarlo, debe iniciar sesión en la plataforma y luego completar la información relevante para registrarse (la dirección IP actual aquí). debe ser consistente, puede usar una hermosa información virtual como código postal, número de teléfono móvil);
2. La plataforma cdn se usará en el futuro, por lo que el registro ns de la plataforma cdn debe ser consistente. estar vinculado a esta plataforma de nombres de dominio.
Una vez completado el registro del nombre de dominio, no se apresure a analizarlo primero y continúe con el segundo paso de la configuración de la plataforma CDN.
La plataforma CDN recomienda utilizar Cloudflare.
Primero registre una cuenta para iniciar sesión y registrarse vía correo electrónico. Para mayor comodidad, puede utilizar el mismo correo electrónico que la plataforma freenom.
Después de ingresar a la plataforma Cloudflare, haga clic en el sitio web de la izquierda y luego agregue un nombre de dominio. El nombre de dominio agregado aquí está registrado por freenom.
Después de agregar el sitio, haga clic en el sitio para ingresar y agregar un registro en el DNS de la izquierda.
Si aparece dicha alarma después de agregarla, significa que el registro ns no se ha modificado en la plataforma freenom y debe modificarse en la plataforma cdn.
Para ingresar a la plataforma freenom para modificar el registro ns, primero inicie sesión, ingrese a la oficina de administración de nombres de dominio y modifique el nombre ns. El nombre ns que se completará aquí lo asigna la plataforma CDN. Vea la imagen de arriba. El prefijo ns se asigna básicamente de forma aleatoria, por lo que prevalecerá el de la plataforma CDN.
Después de que freenom cambie el registro ns, ingrese a la plataforma CDN y haga clic en "Verificar servidor de nombres" en la imagen de arriba para completar la actualización. En este momento, si analiza el nombre de dominio y hace ping al nombre de dominio, la dirección IP de la CDN se devolverá correctamente.
En la descripción general de SSL/TLS en el lado izquierdo de la plataforma CDN, el modo de cifrado a la derecha está seleccionado como Flexible.
En el servidor de origen a la izquierda, haga clic en Crear certificado. El servidor de origen selecciona ECC como tipo de clave privada y PEM como formato de clave. ¡Asegúrese de copiar el certificado de origen y la clave privada! Lo usaré más tarde.
CDN activa el almacenamiento en caché de forma predeterminada, lo que puede afectar el host posterior en línea, el eco del comando de shell, etc. Entonces, aquí hay dos formas de desactivar el caché; se recomienda activarlo.
En la plataforma CDN - caché - configuración - modo desarrollador - active.
Reglas: se crean dos reglas en Crear reglas de página. Los nombres de dominio en las siguientes reglas no requieren nombres de registro.
1. Su DMO ain/;
2. Su DMO ain/*; Establezca la regla en - Nivel de caché - Omitir.
2. Generar un nuevo certificado de cobaltstrike. Si hay incumplimiento de contrato. Guarde el certificado en la carpeta cobaltstrike original; primero debe eliminar el predeterminado. Utilice el siguiente comando para generar:
Ps: la contraseña de acceso aquí debe modificarse a una contraseña compleja. No utilice 123456.
Ps: Todas las contraseñas aquí deben ser consistentes con las anteriores.
6.1 Modificar el puerto predeterminado del servidor de equipos
Edite el archivo de configuración del servidor de equipos y cambie el puerto 50050 predeterminado de CobaltStrike a otro puerto.
6.2 Modificar la información de huellas dactilares predeterminada del servidor de equipos
Edite el archivo de configuración del servidor de equipos, el valor predeterminado es información de ataque de cobalto o información de Microsoft.
La información de la huella digital se puede cambiar a otro contenido.
El comando para iniciar TeamServer necesita ajustes:
. /teamserver servidor red pública IP contraseña C2.profile
Después de conectarse al teamserver, cree un oyente y una chica. Tenga en cuenta que la dirección del oyente debe completarse con el nombre de dominio vinculado a la CDN, no con la dirección IP.
PD: al crear un oyente, se recomienda utilizar el modo https. Y no utilice el 443 predeterminado para el puerto https en línea del oyente; de lo contrario, es posible que no pueda conectarse normalmente. Se recomienda que el puerto de escucha utilice otros puertos compatibles con CDN.
Primero abra un Wirehark en la máquina virtual para iniciar el modo de captura de paquetes y luego arroje a la niña a la máquina virtual para su ejecución.
El host ahora está en línea en CS. Luego mire los paquetes de datos en Wirehark, filtre la dirección real del servidor y descubra que no hay una dirección real. Son todos los datos que interactúan con la dirección CDN.
La siguiente imagen filtra la dirección del servidor:
La siguiente imagen filtra la dirección CDN:
En este punto, se completa la ocultación de la CDN.