Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >工具的使用 | CobaltStrike证书修改躲避流量审查

工具的使用 | CobaltStrike证书修改躲避流量审查

作者头像
Gcow安全团队
发布于 2020-08-27 03:51:22
发布于 2020-08-27 03:51:22
4.5K00
代码可运行
举报
文章被收录于专栏:Gcow安全团队Gcow安全团队
运行总次数:0
代码可运行

CobaltStrike证书修改躲避流量审查

目录

Keytool

keystore

创建新的CobaltStrike.store

在红蓝对抗中,防守方往往会有很多的设备审计流量。Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认情况下的SSL配置文件和代理配置文件导致 keystore 文件内容被用于防火墙识别。

✦Keytool

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
查看证书文件:keytool -list -v -keystore xx.store
修改证书密码:keytool -storepasswd -keystore test.store
修改keystore的alias别名:keytool -changealias -keystore test.store -alias source_name -destalias new_name
修改alias(别名)的密码:keytool -keypasswd -keystore test.store -alias source_name

✦keystore

Keystore是什么?keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。

每组数据主要包含以下两种数据:

  • 密钥实体 --- 密钥(secret key)又或者私钥和配对公钥(采用非对称加密)
  • 可信任的证书实体 --- 只包含公钥

查看CobaltStrike的默认store文件

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
keytool -list -v -keystore cobaltstrike.store

可以看出CobaltStrike默认的store文件中的Alias name 、Onwer 和 Issuer 的信息,特征都比较明显。

✦创建新的CobaltStrike.store

而为了掩盖默认SSL证书存在的特征,需要重新创建一个新的不一样的证书 。使用以下命令创建证书:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
  • -alias 指定别名
  • -storepass pass 和 -keypass pass 指定密钥
  • -keyalg 指定算法
  • -dname 指定所有者信息

删除 CobaltStrike 自带的cobaltstrike.store,使用以下命令生成一个新的 cobaltstrike.store即可!然后客户端连接即可。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
 
keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

注:我看很多其他文章还需要将cobaltstrike.store文件下载至客户端本地,然后保存为ssl.storeproxy.store两个文件。然后,将它们放入cobaltstrike.jar 中的 resources目录中。但是实际我在配置过程中,并不需要这些步骤。并且,在CobaltStrike3.14版本下,重新生成cobaltstrike.store后启动CobaltStrike会报错无法正常启动。本次环境在CobaltStrike4.0环境下配置成功。

参考文章:http://test666.me/archives/227/

责编:Vivian

来源:谢公子博客

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-08-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Gcow安全团队 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
如何隐蔽你的C2
文章首发于安全客:https://www.anquanke.com/post/id/231448
谢公子
2022/01/20
1.9K0
如何隐蔽你的C2
使用KeyStore生成证书
Keytool是一个Java数据证书的管理工具 , 在keystore里,包含两种数据:
十玖八柒
2022/08/01
4.3K0
使用KeyStore生成证书
java SSL
防止抵赖,能够检查签名之后内容是否有更改。通过单向散列算法对内容进行求值,相当于对内容进行提取了指纹。
良辰美景TT
2018/10/08
2.1K0
java SSL
Java扩展工具使用说明补充
描述:keytool是JDK中工具对JDK版本要求不高,但基于现在JDK版本的安全性考虑,建议使用JDK8及以上版本
全栈工程师修炼指南
2022/09/29
1.1K0
魔改Cobaltstrike该注意哪些?
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
网络安全自修室
2023/12/28
4570
魔改Cobaltstrike该注意哪些?
Springboot模拟https安全访问(使用Java提供的keytool命令生成证书)
1、SpringBoot启动时默认采用http进行通信协议定义,但是为了访问安全性,我们有时候会选择使用https进行访问。正常来讲,https的访问是需要证书的,并且为了保证这个证书的安全,一定要在项目中使用CA进行认证,需要收费的哦,证书真是一个挣钱的生意。这里只是利用Java提供的keytool命令实现证书的生成。
别先生
2020/11/24
8860
Springboot模拟https安全访问(使用Java提供的keytool命令生成证书)
Cobaltstrike去除特征
java -XX:ParallelGCThreads=4 -Duser.language=en -Dcobaltstrike.server_port=50505 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024m -classpath ./cobaltstrike.jar server.TeamServer xxx.xxx.xx.xx test google.profile
Ms08067安全实验室
2020/12/14
2.9K0
Cobalt Strike特征隐藏和流量加密(CS服务器伪装)
测试成功 5.到cloudflare添加域名,并修改dns 开启自动HTTPS重写
R0A1NG
2022/02/19
3.7K0
Cobalt Strike特征隐藏和流量加密(CS服务器伪装)
Android Keystore漫谈
今天使用高德地图为应用添加Key的时候,发现有一项需要用到安全码SHA1,而SHA1存在于Keystore中,遂简单地了解了一下Keystore。虽然之前实习开发中有用同事生成的Keystore对应用加过密,但是对它并不熟,今天以此文对Keystore的认识做一个记录,也希望可以给未接触过Keystore的小伙伴们作为参考。
代码咖啡
2018/08/28
2.4K0
Android Keystore漫谈
Cobalt Strike隐藏特征与混淆流量
服务器禁ping从某种意义上来说,算是不存活的主机,但nmap是依然能够扫描出来的。 设置禁ping命令: vim /etc/sysctl.conf 打开后按i进入编辑模式,在任意位置新增以下内容 net.ipv4.icmp_echo_ignore_all=1
kam1
2022/03/08
3.5K0
Cobalt Strike隐藏特征与混淆流量
Springboot 系列(十四)迅速启用 HTTPS 加密你的网站
正常情况下 HTTPS 证书需要从证书授权中心获得,这样获得的证书才具有公信力,也会被各种浏览器客户端所认可。常见的证书品牌如 Symantec,GeoTrustm,TrustAsia,Symantec 等。不过在 Springboot 的 HTTPS 实验中就没有必要去申请了,我们可以使用 Java 自带的 keytool 生成 HTTPS 证书。
未读代码
2019/11/04
8881
Android签名校验机制(数字证书)
之前有多个游戏遇到关于签名错误的问题,加上有些游戏开发不熟悉Android签名校验的机制以及打包的方法,就专门总结了一下,现在整理一下。 首先放上官方文档链接:http://developer.android.com/tools/publishing/app-signing.html 什么是签名 就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是个加密的过程,数字签名验证是个解密的过程。 为什么有签名 最简单直接的回答: 系统要
子勰
2018/05/22
7K0
Spring Cloud构建微服务架构:分布式配置中心(加密解密)
最近正好想发一篇关于配置中心加密的细节内容,结果发现基础的加密解密居然漏了,所以在这个入门系列中补充一下。后面再更新一下,使用配置中心的一些经验和教训。 在微服务架构中,我们通常都会采用DevOps的
程序猿DD
2018/04/17
1K0
Spring Cloud构建微服务架构:分布式配置中心(加密解密)
tomcat配置https | 自签发证书配置
PS F:\开发工具\apache-tomcat-9.0.11\conf> keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36
WindWant
2020/09/11
1.6K0
tomcat配置https | 自签发证书配置
apktool重新打包添加签名
一.生成apk apktool b 反编译后项目目录 -o 新apk名称.apk 二.生成签名 keytool -genkeypair -alias 新apk名称.apk -keyalg RSA -validity 100 -keystore app.keystore #拓展 -genkey 生成秘钥 -alias 别名 -keyalg 秘钥算法 -keysize 秘钥长度 -validity 有效期 -keystore 生成秘钥库的存储路径和名称 -keypass 秘钥口令 -storep
小小咸鱼YwY
2020/07/01
7900
实战填坑 | CS使用CDN隐藏C2
但在搭建域名+CDN隐藏版c2时楼主遇到了不少的坑,在这里顺着搭建的思路慢慢把踩的坑填上。
HACK学习
2021/06/24
4.9K0
实战填坑 | CS使用CDN隐藏C2
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
在红蓝对抗或日常测试中会出现一种情况,当我们终于让目标机器上线后, 却因为明显的通信特征被安全设备检测到从而失去目标机器的控制权限, 这时就需要对Cobalt Strike或MSF的特征进行隐藏、对其通信流量进行混淆。
没事就要多学习
2024/07/18
3430
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
git生成ssh key命令(keystore文件)
https://blog.csdn.net/yxl7808a/article/details/53139186
全栈程序员站长
2022/07/31
8890
SpringBoot两种方式配置 HTTPS 安全证书
1:确保安装了JDK并正确配置了环境变量; 2:进入你的JAVA_HOME目录中的bin目录; 3:在这个目录下执行
高大北
2022/06/14
1.5K0
Tomcatserverhttps协议配置简单介绍[通俗易懂]
<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”
全栈程序员站长
2022/07/10
4770
相关推荐
如何隐蔽你的C2
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验