Cobalt Strike生成证书，修改C2 profile流量加密混淆

Posted 2021-05-08 Tenet@1014

Cobalt Strike生成证书，修改C2 profile流量加密混淆

Cobalt Strike就不多介绍了，懂得都懂

本次实验环境

kali

Cobalt Strike 4.1

生成免费的SSL证书

Cobalt Strike默认使用的cobaltStrike.store证书，默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现

keytool工具介绍

Keytool是一个Java数据证书的管理工具,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中,即store后缀文件中。

选项:

 -alias <alias>          要处理的条目的别名
 -keyalg <alg>           密钥算法名称
 -keysize <size>         密钥位大小
 -groupname <name>       Group name. For example, an Elliptic Curve name.
 -sigalg <alg>           签名算法名称
 -destalias <alias>      目标别名
 -dname <name>           唯一判别名
 -startdate <date>       证书有效期开始日期/时间
 -ext <value>            X.509 扩展
 -validity <days>        有效天数
 -keypass <arg>          密钥口令
 -keystore <keystore>    密钥库名称
 -storepass <arg>        密钥库口令
 -storetype <type>       密钥库类型
 -providername <name>    提供方名称
 -addprovider <name>     按名称 (例如 SunPKCS11) 添加安全提供方
   [-providerarg <arg>]    配置 -addprovider 的参数
 -providerclass <class>  按全限定类名添加安全提供方
   [-providerarg <arg>]    配置 -providerclass 的参数
 -providerpath <list>    提供方类路径
 -v                      详细输出
 -protected              通过受保护的机制的口令

生成SSL证书命令

keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store
tenet tenet.store这两个字符串要记住，后续修改profile需要使用
密钥库口令：tenet123
组织名称：MicrosoftUpdates（尽量像大型企业）

成功生成证书

创建并修改C2-profile文件

set keystore
set password
set alias

通过./c2lint验证

修改teamserver默认端口，默认端口50050过于明显

vim teamserver

启动CobaltStrike

后台运行teamserver

nohup ./teamserver 192.168.152.130 123456 tenet.profile &

启动CobaltStrike,注意端口

./cobalstrike

看下https是否生成

还有证书

通过CS上线执行命令

wireshark看是否加密

成功加密TLSv1.2