C2

运行 C2 代理

./teamserver [ip address] [password] [profile]

C2代理的组成部分

• Options

• Blocks

• Extraneous Indicators
• Transforms

C2与运转方式

• http-get：负责储存加密的信息，同时服务器也会发送数据 Beacon，因为可以使用http-get进行服务器输出数据修改。
• http-post：控制如何将Beacon发送到其他团队服务器。
• http-stager：用于转换编码。
• http-config：自定义配置http响应数据。
• http-certificate：配置SSL证书。

C2 更改代理设置

可以通过新建监听器的时候，在Profile里面进行自定义配置。

C2 自定义配置

./c2lint [profile]

pico etumbot.profile

首先打开文件，进行自定义编辑，编辑好后直接运行./c2lint xxx

以上是成功运行的全部过程截图。C2可以通过自定义POST/GET包的形式，未造成正常使用的数据包来逃逸防火墙的检测。

C2 运行效果展示

./teamserver [ip] [password] etumbot.profile

Deafault 效果展示

接下来再Listener里面配置上线信息，并生成powershell监听器。

并在windows客户端运行上线。

我们再Beacon里面，执行一下命令。

如上图所示，上面的PWD命令被我们未造成了一个普通的数据包。

Get-only 效果展示

配置新的Get-only监视器，并且通过Spawn进行上线。

我们在Beacon里面执行ps命令。

这里可以看到数据包所展示的是一个正常流量的数据包。