正文

【教程】小白也能看懂的CobaltStrike CDN域前置+Nginx前置代理

admin
admin V管理员 /0 评论 /443 阅读
1014
此篇文章发布距今已超过382天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

编写缘由

   最新刚发布完CobaltStrike 4.9.1 二开免杀,内部群里师傅说我的公网IP被微步标红了,有的时候CS服务器还会上线一些国外的IP,公网IP标红的弊端就是无论你的程序多么免杀,只要识别到目的IP是恶意的公网IP就会报毒(仅是本人看法,之前一份免杀的源代码,创建了2个IP的程序,一个报毒、另一个没问题),因此有了以下教程,来避免泄露真实IP,以及规避外网CS探测扫描。

腾讯云配置

打开腾讯云内容分发网络(CDN),点击“域名管”中的“添加域名”

2.加速域名 填写你的实际域名,源站地址填写你的公网nginx侦听IP以及端口。回源地址选择默认。

3.推荐配置选择全部不缓存,其余的三个模块全部默认即可。

4.前往的你的实际域名管理控制台添加CNAME解析记录。添加完成后,过几分钟点击验证CANME状态。然后点击完成,即可完成腾讯云全部配置。

nginx代理配置

这里推荐使用宝塔配置,因为CS有的时候会侦听许多端口,命令行配置会很繁琐:

宝塔安装命令:

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

安装完成登录到宝塔管理地址:选择配置推荐一,安装配置。然后在PHP项目下点击“添加站点”新增网站。添加一个由腾讯云CNAME域名的站点,,PHP版本选择“纯静态”。

3.添加完成后修改该网站的配置为以下文件内容(xxx的地方需要自行替换):此nginx配置文件内容对应星球内部的zoom.profile文件,服务端启动时要指定此文件.

./teamserver 192.168.1.1 123456  zoom.profile 
server{    listen 80;    server_name test.xxxxx.cdn.dnsv1.com;    index index.php index.html index.htm default.php default.htm default.html;    root /www/wwwroot/test.xxxx.cdn.dnsv1.com;    #CERT-APPLY-CHECK--START    # 用于SSL证书申请时的文件验证相关配置 -- 请勿删除    include /www/server/panel/vhost/nginx/well-known/test.xxxxx.cdn.dnsv1.com.conf;    #CERT-APPLY-CHECK--END    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则    #error_page 404/404.html;    #SSL-END    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改    error_page 404 /404.html;    #error_page 502 /502.html;    #ERROR-PAGE-END    #PHP-INFO-START  PHP引用配置,可以注释或修改    include enable-php-00.conf;    #PHP-INFO-END    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效    include /www/server/panel/vhost/rewrite/test.xxxx.cdn.dnsv1.com.conf;    #REWRITE-END    #禁止访问的文件或目录    location ~ ^/(.user.ini|.htaccess|.git|.env|.svn|.project|LICENSE|README.md)    {        return 404;    }    #一键申请SSL证书验证目录相关设置    location ~ .well-known{        allow all;    }    #禁止在证书验证目录放入敏感文件    if ( $uri ~ "^/.well-known/.*.(php|jsp|py|js|css|lua|ts|go|zip|tar.gz|rar|7z|sql|bak)$" ) {        return 403;    }    location ~* ^(/signin.*)$ {    set $blocked 0;    if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {        set $blocked 1;    }    if ($blocked) {        return 302 https://www.baidu.com;    }    proxy_pass          http://127.0.0.1:7000;//替换为cobaltstrike侦听端口    expires             off;    proxy_redirect      off;     proxy_set_header        Host $host;    proxy_set_header        X-Real-IP $remote_addr;    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_set_header        X-Forwarded-Proto $scheme;    }        # 处理 GET 请求        location ~* ^(/s/58462514417|/wc/58462514417)$ {            set $blocked 0;            if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {                set $blocked 1;            }            if ($blocked) {                return 302 https://www.baidu.com;            }            proxy_pass http://127.0.0.1:7000;  # 根据实际情况设置目标            expires off;            proxy_redirect off;             proxy_set_header Host $host;            proxy_set_header X-Real-IP $remote_addr;            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            proxy_set_header X-Forwarded-Proto $scheme;        }        # 处理 POST 请求        location ~* ^/meeting/save$ {            set $blocked 0;            if ($http_user_agent != "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/16C104") {                set $blocked 1;            }            if ($blocked) {                return 302 https://www.baidu.com;            }            proxy_pass http://127.0.0.1:7000;  # 根据实际cobaltstrike侦听端口            expires off;            proxy_redirect off;             proxy_set_header Host $host;            proxy_set_header X-Real-IP $remote_addr;            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            proxy_set_header X-Forwarded-Proto $scheme;            proxy_method POST;  # 明确使用 POST 方法        }    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$    {        expires      30d;        error_log /dev/null;        access_log /dev/null;    }    location ~ .*.(js|css)?$    {        expires      12h;        error_log /dev/null;        access_log /dev/null;    }    access_log  /www/wwwlogs/test.xxxx.cn.cdn.dnsv1.com.log;    error_log  /www/wwwlogs/test.xxxx.cn.cdn.dnsv1.com.error.log;}

4. cobaltstrike客户端 新建侦听端口其中 HTTP Hosts和HTTP Host(Stager)应该对应腾讯云的CNAME域名,HTTP Port(C2)应该对应nginx侦听端口,HTTP Port(Bind) 对应为cobaltstrike实际侦听端口。

5.zoom.profile文件中需要把trust_x_forwarded_for设置为true。

set trust_x_forwarded_for "true";

6.把http-get http-post http-stager中的#header "Host" "";修改为以下内容

header "Host" "test.xxx.cn"; 你实际的域名

7.然后生成应用程序即可完成上线,流量中已无法捕捉到真实IP地址。

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  •  CobaltStrike4.9.1二开 

  • CobaltStrike免杀插件

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满100人,价格由198元调整为208元(交个朋友啦),200名以后涨价至238元!

圈子动态

星落免杀星球资源维护表

关注微信公众号后台回复“入群”,即可进入星落安全交流群!

往期推荐

1.

3

4

5. 

声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客