不是什么新鲜东西,仅作为记录。
JARM
不依靠证书的TLS服务端指纹工具。
原版实现:https://github.com/salesforce/jarm
TeamServer 默认端口 50050 JARM 指纹
提取自 cobalt strike 4.9.1 (pwn3rs ver.) 的 TeamServer
1
2
3
| Domain: 127.0.0.1
Resolved IP: 127.0.0.1
JARM: 2ad2ad16d2ad2ad00042d42d00042ddb04deffa1705e2edc44cae1ed24a4da
|
通过 Shodan.io 等空间测绘引擎搜索
语法:ssl.jarm:2ad2ad16d2ad2ad00042d42d00042ddb04deffa1705e2edc44cae1ed24a4da
规避
plan A. bind 127.1
1
2
3
4
5
6
| # cat teamserver
# ...
./TeamServerImage -Dcobaltstrike.server_port=50050 -Dcobaltstrike.server_bindto=127.0.0.1 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 teamserver $*
# 通过SSH转发流量至本机
ssh -N -L 50050:127.0.0.1:50050 neo@host
|
(under construction)