[网络协议] CobaltStrike 流量隐藏

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 网络协议 -> CobaltStrike 流量隐藏 -> 正文阅读

[网络协议]CobaltStrike 流量隐藏

0x1 https流量隐藏

? ? ? ? 前言：经过https加密后的流量虽然不是明文，但是cobaltstrike的默认证书有很多敏感文字，

????????????????非常容易被识别。除此之外，使用默认的证书，流量也很容易被解密；

? ? ? ? 解决：生成个人域名的证书；步骤如下：

? ? ? ? 1. 去申请一个个人域名，推荐?https://www.namecheap.com/；

? ? ? ? 2.去给域名申请一个证书，下载证书压缩包；推荐?SSL For Free LoginLog in to your SSL For Free account to manage your certificates and get expiration notifications.https://manage.sslforfree.com/login
FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站FreeSSL - 一个申请免费HTTPS证书的网站,免费HTTPS证书,免费SSL证书,免费证书https://freessl.cn/

? ? ? ? 3.上传证书压缩包到 cobaltstrike 目录，并解压；

? ? ? ? 4.将证书转成 cobaltstrike.store 格式；

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码，需要记住}

openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456


## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}

keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz

## 生成store证书后，有1个warning，最好再对证书进行一个格式转换；new-2.store 是刚刚生成的store证书；
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

? ? ? ? 5.替换服务端与客户端通话的证书；

? ? ? ? ? ? ? ? 修改teamserver，将 cobaltstrike.store 替换成我们生成的store证书；

? ? ? ? 6.替换 web https 默认证书；

? ? ? ? ? ? ? ? 6.1创建 profile文件，写下如下内容；

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/image/";

    client {

        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";

        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }

    server {

        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";

        output {
            base64;
            print;
        }
    }
}

http-post {
    set uri "/history/";

    client {

        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";

        id {
            netbiosu;
            append ".asp";
            uri-append;
        }

        output {
            base64;
            print;
        }
    }

    server {

        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";

        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}

? ? ? ? ? ? ? ? ?6.2 验证 profile 是否可用；

?????????????????????????./c2lint profile

? ? ? ? 7. 启动cobaltstrike 服务端；设置profile 运行 teamserver；

? ? ? ? ? ? ? ? ./teamserver xx.xx.xx.xx passwd profile

????????

? ? ? ? 8.验证：访问cobaltstrike 服务端口、cobaltstrike listener 端口；查看证书，看到证书已经

????????????替换成我们的私人证书了；? ? ? ? ? ? ?