Cobalt Strike生成证书，修改C2 profile流量加密混淆

Cobalt Strike生成证书，修改C2 profile流量加密混淆

Cobalt Strike就不多介绍了，懂得都懂

本次实验环境

kali

Cobalt Strike 4.1

生成免费的SSL证书

Cobalt Strike默认使用的cobaltStrike.store证书，默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现

keytool工具介绍

Keytool是一个Java数据证书的管理工具,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中,即store后缀文件中。

选项:

 -alias           要处理的条目的别名
 -keyalg            密钥算法名称
 -keysize          密钥位大小
 -groupname        Group name. For example, an Elliptic Curve name.
 -sigalg            签名算法名称
 -destalias       目标别名
 -dname            唯一判别名
 -startdate        证书有效期开始日期/时间
 -ext             X.509 扩展
 -validity         有效天数
 -keypass           密钥口令
 -keystore     密钥库名称
 -storepass         密钥库口令
 -storetype        密钥库类型
 -providername     提供方名称
 -addprovider      按名称 (例如 SunPKCS11) 添加安全提供方
   [-providerarg ]    配置 -addprovider 的参数
 -providerclass   按全限定类名添加安全提供方
   [-providerarg ]    配置 -providerclass 的参数
 -providerpath     提供方类路径
 -v                      详细输出
 -protected              通过受保护的机制的口令

生成SSL证书命令

keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store
tenet tenet.store这两个字符串要记住，后续修改profile需要使用
密钥库口令：tenet123
组织名称：MicrosoftUpdates（尽量像大型企业）

成功生成证书

创建并修改C2-profile文件

set keystore
set password
set alias

通过./c2lint验证

修改teamserver默认端口，默认端口50050过于明显

vim teamserver

启动CobaltStrike

后台运行teamserver

nohup ./teamserver 192.168.152.130 123456 tenet.profile &

启动CobaltStrike,注意端口

./cobalstrike

看下https是否生成

还有证书

通过CS上线执行命令

wireshark看是否加密

成功加密TLSv1.2