如何隐藏你的C2域名( 二 ) _C2域名

修改好之后放到cs服务端同一个目录下面
七、防火墙配置根据aws提供的ip列表（https://ip-ranges.amazonaws.com/ip-ranges.json）选择出cloudfrant ip段，加入ipset列表

文章插图

然后iptables调用ipset设置仅允许aws cloudfront ip可以80、443回源

文章插图

最后新加规则，仅允许特定ip可以访问cs的管理端口

文章插图

最后的iptables规则文件应该是这样的：

文章插图

如果是debian发行版可以利用网络启动脚本进行ipset和iptables的重载

文章插图

cat >/etc/network/if-pre-up.d/iptables<<EOF#!/bin/bash/sbin/ipsetrestore < /etc/ipset.rules/sbin/iptables-restore< /etc/iptables.up.rules/sbin/ip6tables-restore< /etc/ip6tables.up.rulesEOFchmod +x/etc/network/if-pre-up.d/iptables

八、启动服务端cd到相应目录，软连接之前申请的证书
ln -s cobaltstrike.store /usr/local/ssl/x.com.p12
修改teamserver端口和防火墙对应
配置systemd启动服务，下面配置自行替换ip和passwd

cat > /etc/systemd/system/cobaltstrike.service <<EOF[Unit]Description=cobalstrike serviceAfter=network.target[Service]ExecStart=/usr/local/cobaltstrike4/teamserver ip passwd/usr/local/cobaltstrike4/c2.profileWorkingDirectory=/usr/local/cobaltstrike4Restart=on-failureRestartSec=5sProtectHome=truePrivateTmp=true[Install]WantedBy=multi-user.targetEOFsystemctl start cobaltstrike.service # 启动服务systemctl status cobaltstrike.service # 查看服务

如果正常可以加入开机自启动
systemctl enable cobaltstrike.service九，启动客户端在bat启动文件里加入-DsocksProxyHost = 127.0.0.1 -DsocksProxyPort = 10808，通过代理连接服务端

文章插图

新增一个侦听器，HTTPS主机填入其他支持cloudfront的域名，称为cdn1.safmc.net，更多的可以自己收集

文章插图

HTTPS主机（Stager）填充刚才申请到的cloudfront域名

文章插图

然后就可以按照正常的方式使用cs，如果抓包会发现使用了tls加密，只有主机头部和cloudfront.net可以看到，而主机头是cdn1.safmc.net，而不是前面申请的域名测试。x.com
作者：Jdicsp
转载自：https://www.freebuf.com/articles/network/240649.html