【笔记】CobaltStrike使用域名作为上线地址

发表于 更新于 阅读次数:

前言

CobaltStrike使用域名作为上线地址

下载项目

1
2
git clone https://github.com/threatexpress/malleable-c2.git
cd malleable-c2

修改对应cs版本的配置文件

  • 修改http-get块和http-post块,改为自己的域名
jquery-c2.4.5.profile
1
2
3
4
5
6
7
8
9
10
11
http-get {
    client {
        header "Host" "code.jquery.com";
    }
}

http-post {
    client {
        header "Host" "code.jquery.com";
    }
}

使用修改后的配置文件启动服务端

<ip>:当前服务端IP地址
<password>:连接密码

1
./teamserver <ip> <password> jquery-c2.4.5.profile

启动客户端

1
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=f38eb3d1a335b252b58bc2acde81b542 -Duser.language=en -jar cobaltstrike.jar
  • 主机填写服务端IP地址->用户填写任意用户名,用来在团队协作时区分用户->密码填写服务端密码

客户端创建监听器

HTTP

  • 端口号可以设置为: 80、8080、8880、2052、2082、2086、2095

HTTPS

  • 端口号可以设置为:443、8443、2053、2083、2087、2096

根据监听器生成木马

  • 攻击->生成后门->Windows可执行程序(Stageless)

  • 选择监听器输出格式选择Windows EXE,根据需要在x64勾选或取消勾选使用x64 payload->生成

完成