Cobalt Strike

在暗影中潜行-CS服务器隐匿（二）前言在上一篇文章中，总结了互联网上一些常见的Cobalt Strike特征修改以及服务器的隐藏方法。在本篇进行了进一步的补充总结，包含：重定向器的设置、DNS监听器的隐藏以及简单修改Cobalt Strike来防止团队服务器的泄露。 1 重定向器重定向器是隐蔽攻击基础设施中的关键组件，用于混淆后端基础架构，并可用于混淆或迷惑正在调查的事件响应者，当我们的重定向器服务器被封禁时，我们真正的 Cobalt Strike 团队服务器的 IP 仍然可用。 1.1 Dumb Pipe重定向器Dumb Pipe重定向器会混淆CS服务器的真实IP地址，适合于快速启动环境，但由于该重定向不对流量执行任何条件的过滤，所以较容易被防守方深入溯源。 1.1.1 iptablesiptables是Linux的防火墙工具，它可以将某个端口上的任何传入流量NAT到远程主机的指定端口。 以root权限运行以下命令将443端口的TCP流量重定向到CS服务器的443端口，其中为CS服务器IP。 123456iptables -I INPUT -p tcp -m tcp --dport ...

在暗影中潜行-CS服务器隐匿(一)前言​ Cobalt Strike是一款渗透测试神器，常被业界人称为CS（项目官网：https://www.cobaltstrike.com ）。这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名工具，因此广受黑客喜爱。 ​ 但是现在Cobalt Strike的默认特征已经被各大厂商标记，很容易就会被安全设备发现ban掉IP。如果密码简单的话，甚至可以通过爆破密码来进行反制。 ​ 暴力破解CobaltStrike的teamserver密码脚本项目地址： ​ https://github.com/shanfenglan/bruteforce_cs_pwd ​ 为了防止被别人轻易溯源到我们，我们就需要修改Cobalt Strike的特征并隐藏服务器地址（本文版本为Cobalt Strike 4.2）。 修改Cobalt Strike特征修改te ...