CobaltStrike主机隐藏教程之穷人版

分享 270 字 大概 1 分钟 1,003 次

2021-06-26T08:46:44.png

在不少的攻防演练中,许多人都会使用CDN来隐藏真实的主机地址来防止溯源,需要攻击者自行购买带有公网IP的主机以及域名,一旦被发现真实IP地址和域名并被类似微步这样的威胁情报标记,就不得不放弃使用该主机以及域名,造成资源浪费。以下内容将演示零成本隐藏CobaltStrike主机,仅供技术研究与授权测试,请勿用于非法用途。

演示环境

  • Kali-Linux-2021.2
  • Windows 10 专业版 21H1(靶机)

工具清单

  • cloudflared(基于cloudflare的内网穿透工具)
  • ding(基于钉钉的内网穿透工具)
  • cobaltstrike 4.3

运行teamserver

./teamserver 192.168.217.130 123456

2021-06-26T09:17:04.png

内网穿透

目的是将监听器的端口映射到公网,以便受害者连接。

cloudflared

./cloudflared tunnel --url http://127.0.0.1:44444

2021-06-26T09:27:29.png

ding

./ding -config=./ding.cfg -subdomain=kfire 44444

2021-06-26T09:31:49.png

配置监听器

接下来的内容以cloudflared为例,使用ding大同小异。
  1. 获取CDN使用的IP
    2021-06-26T09:35:56.png
  2. 配置监听器
    2021-06-26T09:40:53.png

测试上线

  1. 生成后门
    2021-06-26T09:42:29.png
  2. 上线成功
    2021-06-26T09:45:33.png

主机隐藏测试

2021-06-26T09:50:53.png
在线云沙箱查杀结果
通过微步云沙箱检测,完美的隐藏了CS主机的真实IP。

文章目录
END

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

发表感想