CobaltStrike流量逃避.md
最后更新于
最后更新于
SSL证书一定要选择完全加密,若选择灵活加密的话会出现这种情况:比如你的C2 https监听端口是443,CDN会将beacon发过来的流量转发至你C2服务器的80端口而不是443端口,从而导致无法上线,如下是CloudFlare免费支持的端口:
除此之外页面规则还需要配置缓存绕过,就拿jquery-c2.4.8.profile举例,beacon与C2的jquery-3.3.2.min.js页面进行数据交互,我们需在页面规则将后缀为.js
的页面的缓存设置为绕过
profile文件也需要稍微修改下,在http-get
和http-post
块处需将host字段设置为域名地址
或者你可以不在profile修改host字段,在客户端gui界面添加监听器时填写Https Host Header
这时你会发现执行命令没有回显,解决方法是修改profile文件,将http-post
和http-get
块中的Content-Type
值修改为如下所示
当使用nmap配合grab_beacon_config.nse脚本来扫描C2服务器时,可以发现beacon的配置信息已经泄露了
但是如果扫描配置了cdn的C2域名,就发现不了beacon的配置信息
为了以防万一,最好将泄露了beacon信息的接口删掉,可以在Sites面板将stager和或stager64删除掉,又或者在profile将 host_stage
字段设置为false
,其实最好的方法就是修改beacon.dll的二进制内容,这里就不详细去讲了