1. 首页
  2. 红队技术

使用CobaltStrike搭建域前置

域前置技术:


通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转,利用我们配置域名的高可信度,如我们可以设置一个微软的子域名,可以有效的躲避DLP,agent等流量监测,其工作原理大致为:

使用CobaltStrike搭建域前置

我的搭建环境是C2 4.0

0x01  购买CDN

  在阿里云购买CDN加速服务,配置CDN域名信息并解析到自己的C2服务器

使用CobaltStrike搭建域前置

在C2监听443,观察日志,个人终端执行请求:

curl https://阿里云CDN节点IP/ -H “Host: 你配置的CDN域名” -k

其中CDN ip获取的方式:

第一步:

使用CobaltStrike搭建域前置

第二步:在超级ping ping cname值,选择其中一个节点ip进行测试,当然最好多测试几个ip

使用CobaltStrike搭建域前置

选择ip后,在c2监听443,如果收到请求,则说明域名转发正常

使用CobaltStrike搭建域前置

0x02 修改C2配置文件,启动C2

https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/template.profile

统一替换里面的设置里面的header “Host”值为自己配置的域名

设置set trust_x_forwarded_for “true”,转发目标的真实ip

使用CobaltStrike搭建域前置

启动C2

./teamserver xx.xx.xx.xx 密码 js.profile

0x03 设置C2

添加监听器,对应的端口要填写对

使用CobaltStrike搭建域前置

0x04 上线测试

使用CobaltStrike搭建域前置

配置监听

使用CobaltStrike搭建域前置

生成木马后,点击上线

使用CobaltStrike搭建域前置

本文来自https://blog.csdn.net/qq_38376348/article/details/108027233,经授权后发布,本文观点不代表立场,转载请联系原作者。

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息