简介
自定义证书
查看Cobalt strike默认证书
发现特征含有cobaltstrike关键字
常用keytool命令
查看证书文件:keytool -list -v -keystore xx.store
修改证书密码:keytool -storepasswd -keystore test.store
修改alias别名:keytool -changealias -keystore test.store -alias sourame -destalias new_name
制作自己的证书
eytool -keystore cobaltstrike.store -storepass cs12138 -keypass cs12138 -genkey -keyalg RSA -alias xiaoc -dname "CN=(CN), OU=(SHANGHAI), O=(SHANGHAI), L=(DONGCHENG), ST=(SHANGHAI), C=(CN)"
删除Cobalt strike默认证书,导入刚生成的证书
修改默认证书
可以不用自己制作证书,修改配置文件并删除原有证书,Cobalt strike会根据填写信息生成证书
建议还是更改配置,防止证书被删后会生成默认的证书信
默认证书:
新证书:
C2侧写
我们所使用的C2工具等,可能早已被AV等防护软件所标记,所以需要订制攻击工具。Malleable C2 是 Cobalt Strike 的一项功能, 意为 "可定制的" 的 C2 服务器.。Malleable C2 允许我们仅通过一个简单的配置文件来改变 Beacon 与 C2 通信时的流量特征与行为。
我们可以使用CS自带 C2lint 来测试,看jquery.profile侧写和生成的test.profile侧写的语法是否正确
这里的jquery-c2.4.9.profile是最新版,默认版本
也可以使用SourcePoint定制化侧写
填好相关配置后,用sourcepoint 根据 yaml 文件生成自定义的 C2 侧写,侧写名字为xiaoc.profile
./SourcePoint -Yaml profile.yaml
这里直接用jquery-c2.4.9.profile进行演示
使用自己的证书+个性化C2侧写文件,在修改下默认端口
./teamserver x.x.x.x 12138 jquery-c2.4.9.profile
Nginx 反向代理
受害机器<——————>重定向(可部署多个)<——————>CS服务器