CS服务器隐匿自身操作

很多工具都带有自己的特征,像sqlmap、awvs等扫描器,一旦开扫就很容易被waf ban掉。内网的设备也捕获了一些工具的流量特征,像CobaltStrike本来是钓鱼的,结果因为没有隐匿自身特征反被上线。

本文主要是从修改默认端口、替换SSL证书、修改C2.profile文件三方面进行隐匿自己特征。

  1. 修改默认端口 vim teamserver,修改50050为50000

    1

  2. 替换SSL证书

    2

    查看证书:keytool -list -v -keystore cobaltstrike.store,输入默认密码123456。可以看到别名和证书的所有者包含CS的一些特征。

    3

    默认是CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth,修改为 keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias aaaa -dname “CN=aaa, OU=aaa, O=aaa, L=aaa, S=aaa, C=aaa” 后来我发现这个证书并没有替换原先的,而是在此基础上添加证书内容,因此我把原来的cobaltstrike.store删除,重新生成一个新证书 keytool -genkey -alias test -keyalg RSA -validity 36500 -keystore test.store

    4

    查看新证书 keytool -list -v -keystore test.store

    5

    载入文件
    6

  3. 修改C2.profile文件
    7

    c2lint校验配置文件能否通过
    8
    11

    生成成功。

  4. 启动teamserver,上线服务器
    10
    1636353749-819865-ba69c9a6-08ad-4d05-8fdd-b3ee33de0bbb
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容