红队攻防基础建设

作者: 黑客网 分类: 正规黑客联系方式 发布时间: 2022-05-27 14:11

红队攻防基础建设

前记

随着HW的开始,蓝队弟弟们见识到了很多奇特的操作,本文主要从监测溯源时比较常见的一些红队的隐匿手法进行讲解。在实际攻防中有效的隐匿我们的C2主机也是很必要的,在工作的同时发现很多蓝队对此并不熟悉,所以本文会深入浅出的讲解三种常见的方式,希望通过本文能够对各位有所帮助。

域前置

域前置技术就是通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。这里作者利用阿里云全站加速CDN实现任意HOST头修改,利用构造高信誉域名,从而实现绕过流量分析。

第一步

访问阿里云 CDN 全站加速配置,如下图:

红队攻防基础建设

点击添加域名,,填写CDN基本信息,加速域名处可以填写高信誉的域名,在国内绝大数的服务商,都需要验证主域名的归属,但是在阿里云全站加速CDN中只要IP是本用户阿里云的主机即可绕过验证。只需要填写加速域名以及IP即可完成配置,搭配CobaltStrike profile即可绕过达到隐蔽真实IP及Header的功能,进行隐蔽IP的功能。

红队攻防基础建设

红队攻防基础建设

如上图即填写完毕,之后等待CDN配置完毕即可正常使用。

第二步

使用多地ping对CNAME进行检测,得到多地CDN的IP。
全网PING:

红队攻防基础建设

这里使用用三个演示效果即可。
    58.215.145.105
61.168.100.175
42.48.120.160

第三步

使用得到的IP,进入CobaltStrike,配置profile文件。
这边使用的profile是amazon.profile,其实也可以自己写。
    下载地址:https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile
修改三处,header “Host” 即可。

红队攻防基础建设

红队攻防基础建设

第四步

开启CobaltStrike,开启命令:
    ./teamserver xxx.xxx.xxx.xxx password amazon.profile
进入CobaltStrike进行配置,监听器配置如下:

红队攻防基础建设

配置HTTPS Hosts为之前获取的CDN IP,HTTP Host(Stager)为nanci.tencent.com,也就是我们配置的加速域名,端口默认80即可。
然后开启监听器,生成木马。

    发现成功上线

红队攻防基础建设

并且使用netstat可以看到我们的网络连接为之前的两个负载IP

红队攻防基础建设

如上图可以看到数据包的Host为nanci.tencent.com

    至此域前置成功部署

总结

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

标签云