投稿文章:C2服务隐藏

2019-11-15 18:08:41 5 1095 1

0x00 前言

使用两个VPS服务器均为Ubuntu,一个作为前置安装apache来重定向流量,前 置使用域名。使用域名的好处在于,你可以绑定多个IP地址

0x01 配置

ssh 登录服务器后 先进行 apt update
安装apache2 apt install apache2 -y 下面需要修改apach2配置文件 vi /etc/apache2/apache2.conf

下面需要重写apache模块 PS: 不然后面 在/var/www/html/ 目录下 创建 .htaccess apache会报错,页面不会重定向到指定“站点” PS:SSL 需要配置root权限执行: a2enmod ssl rewrite proxy proxy_http 证书 以上设置完成以后在 /var/www/html/ 目录下创建 .htaccess 注意是以点开头。 参考apache 官方文档:[url]https://httpd.apache.org/docs/2.4/en/rewrite/[/url] intro.html 如果你想了解 apache mod_rewrite : [url]https://code.tutsplus.com/[/url] tutorials/an-in-depth-guide-to-mod_rewrite-for-apache--net-6708 正则表达式 写起来确实让人头疼。 不过没关系,在github上的python脚本自动化生成 .htaccess 所需规则 自动化脚本: [url]https://github.com/threatexpress/cs2modrewrite[/url] git clone [url]https://github.com/threatexpress/cs2modrewrite.git[/url] 这里会使用 CS 中的脚本文件 此脚本语法简单明了,要想深入研究请参阅: [url]https://www.cobaltstrike.com/help-malleable-c2[/url] [url]https://xz.aliyun.com/t/2796[/url]

0x02

使用 git 的自动化脚本 来进行创建 .htaccess 内容 你可以选择你需要的C2-Profiles

git clone [url]https://github.com/rsmudge/Malleable-C2-Profiles.git[/url]

根据你想要的进行选择,你可以自己写 CS 配置文件 验证文件是否有错误:

执行如下 python cs2modrewrite.py -i bingsearch_getonly.profile -c http://C2IP地址 或者域名 -r [url]http://bing.com[/url]

复制内容到 vi /var/www/html/.htaccess
重启apche2 : service apache2 restart
来看一下是否成功: 当访问站点的时候被重定向到了 bing

0x03

现在到另一台 也就是 后端 服务器启动 CS 看是否成功

连接服务端,创建监听,跟之前写的一样,本地监听,使用填写域名。

在创建一个外部监听,填写域名 生成一个木马测试一下,生成木马或者,payload 选择外部监听,不要选错。

请求到后端主机 成功上线, 路由信息显示 你前置VPS IP 地址,连接请求中也只有 你前置主机IP地址 并且你在启动配置文件的时候加有流量伪装,和修改还了请求host头信息。可根据 脚本自行修改内容!!!!

0x04 总结:

后端主机可以自行搭建 MSF 然后使用VPN连接 形成一个局域网来连接 CS 这样以 来就不需要在VPS开端口暴露出这是C2 而且在怎么全网扫描也不用害怕。 你如果不限定限制前置VPS IP 会有大量扫描 你的C2 服务器。 此篇利用了apache mod_rewrite 进行C2 服务器隐藏 同样可以使用Nginx来做 到这一点。而且这样做的目的是只有木马程序才能真正的连接到C2 其它流量全都给 它转走。而且CS这个框架可扩展性特别强。

关于作者

评论5次

要评论?请先  登录  或  注册
  • 5楼
    2020-6-29 17:42

    请问下:这种怎么感觉和 域前置 那种手段是一样的,而且感觉更加像域前置呢?不知道我理解对不对

  • 4楼
    2020-1-4 23:05
    风在指尖

    拿web容器作为中转站,如果是被控端连接的特殊流量就转到cs 机器上,如果是正常的网页访问就跳转到bing上, 这样隐藏C2服务器很好,不过有经验的人通过跳转肯定判断出有猫腻,我有一点疑问,如果是正常访问,能否就不跳转呢,就访问本地的apache,顺便再搭建一个web站点,让人觉得这就是正常的服务,这样隐蔽性更高点嘛?

    1

    感觉意义不大,你一个web服务就算说你是门户,或者博客,平白无故我服务器多了一个进程访问你,你还说你不会武功?

  • 3楼
    2020-1-4 20:46

    多谢,近期要准备看看c2的东西,

  • 2楼
    2019-11-15 20:43
    风在指尖

    拿web容器作为中转站,如果是被控端连接的特殊流量就转到cs 机器上,如果是正常的网页访问就跳转到bing上, 这样隐藏C2服务器很好,不过有经验的人通过跳转肯定判断出有猫腻,我有一点疑问,如果是正常访问,能否就不跳转呢,就访问本地的apache,顺便再搭建一个web站点,让人觉得这就是正常的服务,这样隐蔽性更高点嘛?

    1

    主要是躲避全网扫描

  • 1楼
    2019-11-15 18:47

    拿web容器作为中转站,如果是被控端连接的特殊流量就转到cs 机器上,如果是正常的网页访问就跳转到bing上, 这样隐藏C2服务器很好,不过有经验的人通过跳转肯定判断出有猫腻,我有一点疑问,如果是正常访问,能否就不跳转呢,就访问本地的apache,顺便再搭建一个web站点,让人觉得这就是正常的服务,这样隐蔽性更高点嘛?