cobalt Strike合法证书实现ssl加密通讯 | 您所在的位置:网站首页 › ssl证书不合法 › cobalt Strike合法证书实现ssl加密通讯 |
一. cs通讯介绍
在红蓝对抗中,防守方往往会有很多的设备审计流量。Cobalt Strike 服务端和客户端是通过SSL加密通讯的(默认证书对cobaltstrike.store),默认情况下的SSL配置文件和代理配置文件导致keystore文件内容被用于防火墙识别及特征识别。并且默认配置的SSL证书对不是合法的无法使用HTTPS Beacon,实则HTTPS Beacon的流量还是明文的传输的 二. keystore介绍 2.1 keystore文件keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。 每组数据主要包含以下两种数据: 密钥实体 — 密钥(secret key)又或者私钥和配对公钥(采用非对称加密) 可信任的证书实体 — 只包含公钥 2.2 keytool生成证书对Keytool是一个java数据证书的管理工具,Keytool可以将密钥和证书存放在keystore的文件中,形成后缀为.store文件的证书对。 查看cs默认证书文件,: keytool -list -v -keystore cobaltstrike.store ![]() 注:TXT记录,也可以称之为SPF记录。指为主机名或域名进行配置说明。一般常见于邮箱域名,是非常高效的垃圾邮件解决方案。接收方邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是不是被包含在SPF记录里面。 openssl pkcs12 -export -in pem证书 -inkey key私钥 -out p12文件 -name 域名 -passout pass:密码 openssl pkcs12 -export -in full_chain.pem -inkey private.key -out baidu.p12 -name baidu.xyz -passout pass:123456使用keytool生成store格式的证书对 keytool -importkeystore -deststorepass pass -destkeypass pass -destkeystore store文件 -srckeystore P12格式证书 -srcstoretype PKCS12 -srcstorepass pass -alias 域名 keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore baidu.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias baidu.xyz 四. cs启用合法证书 4.1 cs证书配置cs启动的时候会加载一个默认的配置文件,里面配置了证书文件,证书密码,心跳时间等。配置文件中还可以自己修改特定的请求和响应,可以分析一些百度、谷歌这种网站的请求来修改,让cs的通信在流量中看起来更像合法的请求。要在teamserver使用另外的keystore证书文件,还需要重新写个配置文件(profile)引用证书。CS profile文件地址:https://github.com/rsmudge/Malleable-C2-Profiles/ https Beacon的证书配置如下: https-certificate { set keystore “store文件”; set password “密码”; }
全部修改完成后,使用命令启动teamserver ./teamserver ip pass baidu.profile启动后创建监听, HTTPS Hosts、HTTPS Host(Stager)、HTTPS Host Header字段都填入自己的域名,配置powershell上线,勾选Enable SSL选项 https监听器: Windows server 2008及以下,默认不支持tls1.2套接字,https协商失败,致使https beacon无法上线
![image.png](https://img-blog.csdnimg.cn/img_convert/839b5d1fcd5e4f04427b93b0f59223b0.png#clientId=u3e75deab-d29e-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=402&id=ub2094950&margin=[object Object]&name=image.png&originHeight=804&originWidth=1536&originalType=binary&ratio=1&rotation=0&showTitle=false&size=118687&status=done&style=none&taskId=u2b6c0ff9-3afc-4e40-a346-cc53dac269f&title=&width=768) 参考文档http://blog.leanote.com/post/snowming/6a724671de78 https://mp.weixin.qq.com/s/sYfvD0XQqi6BFw70_jrv5Q https://www.ch1ng.com/blog/253.html |
CopyRight 2018-2019 实验室设备网 版权所有 |