（内网渗透工具）CobaltStrike配置和以及上线微信提醒(上线内网提醒先知文章)

https://xz.aliyun.com/t/11099

文章备份：

https://github.com/ybdt/misc-hub/blob/main/06-内网横向案例学习/CobaltStrike服务端隐藏--CDN及特征隐匿Cobalt%20Strike%20-%20先知社区.html

看完上述文章，你在实践时可能会有一些问题，如下温馨提示也许会有帮助：

01、想从freenom注册免费域名其实挺费劲的，反正我试了几次都没成功，可从namesilo购买一个域名，选一个不那么大众化的，每年0.99$

02、原文中如下命令可能是笔误

python openssl pkcs12 -export -in server.pem -inkey server.key -out cfcert.p12 -name cloudflare_cert -passout pass:123456

应为

openssl pkcs12 -export -in server.pem -inkey server.key -out cfcert.p12 -name cloudflare_cert -passout pass:123456

也就是执行如下2条命令，密码由123456改为baidu3478，生成证书

openssl pkcs12 -export -in server.pem -inkey server.key -out cfcert.p12 -name cloudflare_cert -passout pass:baidu3478keytool -importkeystore -deststorepass baidu3478 -destkeypass baidu3478 -destkeystore cfcert.store -srckeystore cfcert.p12 -srcstoretype PKCS12 -srcstorepass baidu3478 -alias cloudflare_cert

生成后会有一个提醒，推荐迁移到PKCS12，如下命令迁移到PKCS12

keytool -importkeystore -srckeystore cfcert.store -destkeystore cfcert.store -deststoretype pkcs12

03、修改文件teamserve，将ip换为内网ip，使用c2lint检查profile后去掉http-config

上线后，我这边wireshark抓包，抓到的ip查询后发现是微软云（可能是cloudflare的节点在微软云上，或其他原因），如下图

img

参考文章：

https://xz.aliyun.com/t/10698

文章备份：

https://github.com/ybdt/misc-hub/blob/main/06-内网横向案例学习/Cobalt%20Strike的多种上线提醒方法%20-%20先知社区.html

vps会提示需要转发X11请求，解决办法：启动时需要加一个参数-Djava.awt.headless=true

修改后，agscript-start.sh如下

./agscript 120.48.45.46 26783 pushplus hello-lan PushPlus.cna

agscript如下

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Djava.awt.headless=true -classpath ./cobaltstrike.jar aggressor.headless.Start $

然后可关闭xshell的X11转发提醒，属性->SSH->隧道->X11转移