【笔记】CobaltStrike通过CDN实现Windows上线
前言
CobaltStrike通过CDN实现Windows上线,以隐藏真实域名和IP地址实现反溯源
准备工作
- 配置DCDN,并得到DCDN的某一些节点的IP地址
攻击者添加监听器
CobaltStrike->监听器->添加
- 创建监听器->
保存
名字:自定义
Payload:Beacon HTTP或Beacon HTTPS
HTTP地址:CDN任意节点的IP地址
HTTP地址(Stager):CDN任意节点的IP地址
HTTP Host头:CDN指向的源站域名
- 反向连接监听器创建成功后会自动在CobaltStrike服务端监听端口,等待受害者上线
攻击者生成木马
攻击->生成后门->Windows可执行程序
监听器选择上一步骤创建的监听器,输出格式选择Windows EXE,根据需要在x64勾选或取消勾选使用x64 payload->生成
受害者执行木马
- 受害者执行木马,会主动连接CobaltStrike服务端,上线成功后,攻击者可以看到新的会话