Cobalt Strike生成证书,修改C2 profile流量加密混淆

Cobalt Strike生成证书,修改C2 profile流量加密混淆

Cobalt Strike就不多介绍了,懂得都懂

本次实验环境

kali

Cobalt Strike 4.1

生成免费的SSL证书

Cobalt Strike默认使用的cobaltStrike.store证书,默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现
Cobalt Strike生成证书,修改C2 profile流量加密混淆_第1张图片

keytool工具介绍

Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即store后缀文件中。

选项:

 -alias           要处理的条目的别名
 -keyalg            密钥算法名称
 -keysize          密钥位大小
 -groupname        Group name. For example, an Elliptic Curve name.
 -sigalg            签名算法名称
 -destalias       目标别名
 -dname            唯一判别名
 -startdate        证书有效期开始日期/时间
 -ext             X.509 扩展
 -validity         有效天数
 -keypass           密钥口令
 -keystore     密钥库名称
 -storepass         密钥库口令
 -storetype        密钥库类型
 -providername     提供方名称
 -addprovider      按名称 (例如 SunPKCS11) 添加安全提供方
   [-providerarg ]    配置 -addprovider 的参数
 -providerclass   按全限定类名添加安全提供方
   [-providerarg ]    配置 -providerclass 的参数
 -providerpath     提供方类路径
 -v                      详细输出
 -protected              通过受保护的机制的口令

生成SSL证书命令

keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store
tenet tenet.store这两个字符串要记住,后续修改profile需要使用
密钥库口令:tenet123
组织名称:MicrosoftUpdates(尽量像大型企业)

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第2张图片

成功生成证书

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第3张图片

创建并修改C2-profile文件

set keystore
set password
set alias

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第4张图片

通过./c2lint验证

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第5张图片

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第6张图片

修改teamserver默认端口,默认端口50050过于明显

vim teamserver

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第7张图片

启动CobaltStrike

后台运行teamserver

nohup ./teamserver 192.168.152.130 123456 tenet.profile &

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第8张图片

启动CobaltStrike,注意端口

./cobalstrike

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第9张图片

看下https是否生成

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第10张图片

还有证书

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第11张图片

通过CS上线执行命令

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第12张图片

wireshark看是否加密

成功加密TLSv1.2

Cobalt Strike生成证书,修改C2 profile流量加密混淆_第13张图片

你可能感兴趣的:(流量加密技术,安全,网络安全,信息安全)