论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[21953] 2021-05-09_『红蓝对抗』CobaltStrike特征隐藏与流量混淆
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
IOT
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2021-05-09_『红蓝对抗』CobaltStrike特征隐藏与流量混淆
『
红
蓝
对
抗
』
C
o
b
a
l
t
S
t
r
i
k
e
特
征
隐
藏
与
流
量
混
淆
L
e
m
o
n
S
e
c
2
0
2
1
-
0
5
-
0
9
日
期
:
2
0
2
1
-
0
2
-
2
4
作
者
:
p
b
f
o
c
h
k
来
源
:
宸
极
实
验
室
介
绍
:
本
文
介
绍
了
三
种
对
C
S
进
行
特
征
、
流
量
隐
藏
的
方
式
0
x
0
0
前
言
在
红
蓝
对
抗
或
日
常
测
试
中
会
出
现
一
种
情
况
,
当
我
们
终
于
让
目
标
机
器
上
线
后
,
却
因
为
明
显
的
通
信
特
征
被
安
全
设
备
检
测
到
从
而
失
去
目
标
机
器
的
控
制
权
限
,
这
时
就
需
要
对
的
特
征
进
行
隐
藏
、
对
其
通
信
流
量
进
行
混
淆
。
本
次
会
提
到
修
改
证
书
特
征
、
利
用
修
改
流
量
特
征
与
修
改
默
认
端
口
三
种
方
式
。
0
x
0
1
修
改
证
书
特
征
自
带
的
证
书
特
征
过
于
明
显
,
多
数
安
全
设
备
会
基
于
证
书
特
征
进
行
检
测
,
我
们
需
要
修
改
默
认
证
书
中
的
各
种
特
征
来
达
到
隐
藏
自
己
的
目
的
。
1
.
1
k
e
y
t
o
o
l
s
简
介
简
介
是
一
个
数
据
证
书
的
管
理
工
具
,
将
密
钥
(
k
e
y
)
和
证
书
(
c
e
r
t
i
f
i
c
a
t
e
s
)
存
在
一
个
称
为
的
文
件
中
。
1
.
2
替
换
默
认
证
书
替
换
默
认
证
书
修
改
默
认
证
书
需
要
用
到
J
D
K
自
带
工
具
C
o
b
a
l
t
S
t
r
i
k
e
M
a
l
l
e
a
b
l
e
C
2
C
o
b
a
l
t
S
t
r
i
k
e
k
e
y
t
o
o
l
s
J
a
v
a
k
e
y
t
o
o
l
s
k
e
y
s
t
o
r
e
,
这
里
以
删
除
原
有
证
书
新
建
一
个
无
C
S
特
征
的
证
书
为
例
。
(
1
)
删
除
原
有
证
书
(
2
)
在
证
书
当
前
目
录
使
用
新
建
无
特
征
证
书
(
3
)
修
改
证
书
标
准
并
应
用
至
此
证
书
修
改
完
成
,
默
认
使
用
名
称
为
的
证
书
,
可
在
文
件
中
更
改
。
(
4
)
查
看
证
书
k
e
y
t
o
o
l
s
k
e
y
t
o
o
l
s
k
e
y
t
o
o
l
-
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
s
t
o
r
e
p
a
s
s
1
2
3
4
5
6
-
k
e
y
p
a
s
s
1
2
3
4
5
6
-
g
e
n
k
e
y
-
k
e
y
a
l
g
R
S
A
-
a
l
i
a
s
g
o
o
g
l
k
e
y
t
o
o
l
-
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
s
t
o
r
e
p
a
s
s
1
2
3
4
5
6
-
k
e
y
p
a
s
s
1
2
3
4
5
6
-
g
e
n
k
e
y
-
k
e
y
a
l
g
R
S
A
-
a
l
i
a
s
g
o
o
g
l
e
.
c
o
m
-
d
n
a
m
e
e
.
c
o
m
-
d
n
a
m
e
"
C
N
=
(
a
a
)
,
O
U
=
(
b
b
)
,
O
=
(
c
c
)
,
L
=
(
d
d
)
,
S
T
=
(
e
e
)
,
C
=
(
f
f
)
"
"
C
N
=
(
a
a
)
,
O
U
=
(
b
b
)
,
O
=
(
c
c
)
,
L
=
(
d
d
)
,
S
T
=
(
e
e
)
,
C
=
(
f
f
)
"
k
e
y
t
o
o
l
-
i
m
p
o
r
t
k
e
y
s
t
o
r
e
-
s
r
c
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
d
e
s
t
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
d
e
s
t
s
t
o
r
e
t
y
p
e
k
e
y
t
o
o
l
-
i
m
p
o
r
t
k
e
y
s
t
o
r
e
-
s
r
c
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
d
e
s
t
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
-
d
e
s
t
s
t
o
r
e
t
y
p
e
p
k
c
s
1
2
p
k
c
s
1
2
C
o
b
a
l
t
S
t
r
i
k
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
t
e
a
m
s
e
r
v
e
r
k
e
y
t
o
o
l
-
l
i
s
t
-
v
-
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
k
e
y
t
o
o
l
-
l
i
s
t
-
v
-
k
e
y
s
t
o
r
e
c
o
b
a
l
t
s
t
r
i
k
e
.
s
t
o
r
e
0
x
0
2
M
a
l
l
e
a
b
l
e
C
2
是
的
一
项
功
能
,
意
为
"
可
定
制
的
"
的
C
2
服
务
器
。
M
a
l
l
e
a
b
l
e
C
2
[
1
]
允
许
通
过
一
个
简
单
的
配
置
文
件
来
改
变
B
e
a
c
o
n
与
C
2
通
信
时
的
流
量
特
征
与
行
为
。
2
.
1
自
定
义
流
量
特
征
自
定
义
流
量
特
征
首
先
需
要
新
建
一
个
以
为
后
缀
的
文
件
,
此
处
以
定
制
一
份
伪
装
为
图
片
传
输
的
配
置
文
件
为
例
,
文
件
内
容
基
本
分
为
三
部
分
:
(
1
)
基
本
设
置
(
2
)
通
信
中
G
e
t
请
求
包
特
征
M
a
l
l
e
a
b
l
e
C
2
C
o
b
a
l
t
S
t
r
i
k
e
.
p
r
o
f
i
l
e
s
e
t
s
e
t
s
a
m
p
l
e
_
n
a
m
e
s
a
m
p
l
e
_
n
a
m
e
"
i
m
g
t
e
s
t
"
"
i
m
g
t
e
s
t
"
;
;
s
e
t
s
e
t
s
l
e
e
p
t
i
m
e
s
l
e
e
p
t
i
m
e
"
5
0
0
0
"
"
5
0
0
0
"
;
;
#
心
跳
包
时
间
#
心
跳
包
时
间
s
e
t
s
e
t
j
i
t
t
e
r
j
i
t
t
e
r
"
0
"
"
0
"
;
;
#
默
认
的
抖
动
因
子
(
0
-
9
9
%
)
#
默
认
的
抖
动
因
子
(
0
-
9
9
%
)
s
e
t
s
e
t
m
a
x
d
n
s
m
a
x
d
n
s
"
2
5
5
"
"
2
5
5
"
;
;
#
通
过
D
N
S
上
传
数
据
时
的
主
机
名
最
大
长
度
(
0
-
2
5
5
)
#
通
过
D
N
S
上
传
数
据
时
的
主
机
名
最
大
长
度
(
0
-
2
5
5
)
s
e
t
s
e
t
u
s
e
r
a
g
e
n
t
u
s
e
r
a
g
e
n
t
"
M
o
z
i
l
l
a
/
5
.
0
(
c
o
m
p
a
t
i
b
l
e
;
M
S
I
E
8
.
0
;
W
i
n
d
o
w
s
N
T
6
.
1
;
T
r
i
d
e
n
t
/
5
.
0
)
"
"
M
o
z
i
l
l
a
/
5
.
0
(
c
o
m
p
a
t
i
b
l
e
;
M
S
I
E
8
.
0
;
W
i
n
d
o
w
s
N
T
6
.
1
;
T
r
i
d
e
n
t
/
5
.
0
)
"
;
;
#
h
t
t
p
通
信
使
用
的
用
户
代
#
h
t
t
p
通
信
使
用
的
用
户
代
理
理
(
3
)
通
信
中
P
o
s
t
请
求
包
特
征
2
.
2
流
量
特
征
测
试
流
量
特
征
测
试
(
1
)
修
改
完
成
h
t
t
p
-
g
e
t
h
t
t
p
-
g
e
t
{
{
s
e
t
s
e
t
u
r
i
u
r
i
"
/
i
m
a
g
e
/
"
"
/
i
m
a
g
e
/
"
;
;
c
l
i
e
n
t
c
l
i
e
n
t
{
{
h
e
a
d
e
r
h
e
a
d
e
r
"
A
c
c
e
p
t
"
"
A
c
c
e
p
t
"
"
t
e
x
t
/
h
t
m
l
,
a
p
p
l
i
c
a
t
i
o
n
/
x
h
t
m
l
+
x
m
l
,
a
p
p
l
i
c
a
t
i
o
n
/
x
m
l
;
q
=
0
.
9
,
*
/
*
l
;
q
=
0
.
8
"
"
t
e
x
t
/
h
t
m
l
,
a
p
p
l
i
c
a
t
i
o
n
/
x
h
t
m
l
+
x
m
l
,
a
p
p
l
i
c
a
t
i
o
n
/
x
m
l
;
q
=
0
.
9
,
*
/
*
l
;
q
=
0
.
8
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
R
e
f
e
r
e
r
"
"
R
e
f
e
r
e
r
"
"
h
t
t
p
:
/
/
w
w
w
.
g
o
o
g
l
e
.
c
o
m
"
"
h
t
t
p
:
/
/
w
w
w
.
g
o
o
g
l
e
.
c
o
m
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
P
r
a
g
m
a
"
"
P
r
a
g
m
a
"
"
n
o
-
c
a
c
h
e
"
"
n
o
-
c
a
c
h
e
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
C
a
c
h
e
-
C
o
n
t
r
o
l
"
"
C
a
c
h
e
-
C
o
n
t
r
o
l
"
"
n
o
-
c
a
c
h
e
"
"
n
o
-
c
a
c
h
e
"
;
;
m
e
t
a
d
a
t
a
m
e
t
a
d
a
t
a
{
{
n
e
t
b
i
o
s
n
e
t
b
i
o
s
;
;
a
p
p
e
n
d
a
p
p
e
n
d
"
.
j
p
g
"
"
.
j
p
g
"
;
;
#
传
输
内
容
自
动
追
加
的
后
缀
#
传
输
内
容
自
动
追
加
的
后
缀
u
r
i
-
a
p
p
e
n
d
u
r
i
-
a
p
p
e
n
d
;
;
}
}
}
}
s
e
r
v
e
r
s
e
r
v
e
r
{
{
h
e
a
d
e
r
h
e
a
d
e
r
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
i
m
g
/
j
p
g
"
"
i
m
g
/
j
p
g
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
S
e
r
v
e
r
"
"
S
e
r
v
e
r
"
"
M
i
c
r
o
s
o
f
t
-
I
I
S
/
6
.
0
"
"
M
i
c
r
o
s
o
f
t
-
I
I
S
/
6
.
0
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
X
-
P
o
w
e
r
e
d
-
B
y
"
"
X
-
P
o
w
e
r
e
d
-
B
y
"
"
A
S
P
.
N
E
T
"
"
A
S
P
.
N
E
T
"
;
;
o
u
t
p
u
t
o
u
t
p
u
t
{
{
b
a
s
e
6
4
b
a
s
e
6
4
;
;
#
加
密
方
式
(
b
a
s
e
6
4
、
b
a
s
e
6
4
u
r
l
、
n
e
t
b
i
o
s
、
n
e
t
b
i
o
s
u
)
#
加
密
方
式
(
b
a
s
e
6
4
、
b
a
s
e
6
4
u
r
l
、
n
e
t
b
i
o
s
、
n
e
t
b
i
o
s
u
)
p
r
i
n
t
p
r
i
n
t
;
;
}
}
}
}
}
}
h
t
t
p
-
p
o
s
t
h
t
t
p
-
p
o
s
t
{
{
s
e
t
s
e
t
u
r
i
u
r
i
"
/
e
m
a
i
l
/
"
"
/
e
m
a
i
l
/
"
;
;
c
l
i
e
n
t
c
l
i
e
n
t
{
{
h
e
a
d
e
r
h
e
a
d
e
r
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
a
p
p
l
i
c
a
t
i
o
n
/
o
c
t
e
t
-
s
t
r
e
a
m
"
"
a
p
p
l
i
c
a
t
i
o
n
/
o
c
t
e
t
-
s
t
r
e
a
m
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
R
e
f
e
r
e
r
"
"
R
e
f
e
r
e
r
"
"
h
t
t
p
:
/
/
w
w
w
.
g
o
o
g
l
e
.
c
o
m
"
"
h
t
t
p
:
/
/
w
w
w
.
g
o
o
g
l
e
.
c
o
m
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
P
r
a
g
m
a
"
"
P
r
a
g
m
a
"
"
n
o
-
c
a
c
h
e
"
"
n
o
-
c
a
c
h
e
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
C
a
c
h
e
-
C
o
n
t
r
o
l
"
"
C
a
c
h
e
-
C
o
n
t
r
o
l
"
"
n
o
-
c
a
c
h
e
"
"
n
o
-
c
a
c
h
e
"
;
;
i
d
i
d
{
{
n
e
t
b
i
o
s
u
n
e
t
b
i
o
s
u
;
;
a
p
p
e
n
d
a
p
p
e
n
d
"
.
p
n
g
"
"
.
p
n
g
"
;
;
u
r
i
-
a
p
p
e
n
d
u
r
i
-
a
p
p
e
n
d
;
;
}
}
o
u
t
p
u
t
o
u
t
p
u
t
{
{
b
a
s
e
6
4
b
a
s
e
6
4
;
;
p
r
i
n
t
p
r
i
n
t
;
;
}
}
}
}
s
e
r
v
e
r
s
e
r
v
e
r
{
{
h
e
a
d
e
r
h
e
a
d
e
r
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
C
o
n
t
e
n
t
-
T
y
p
e
"
"
i
m
g
/
j
p
g
"
"
i
m
g
/
j
p
g
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
S
e
r
v
e
r
"
"
S
e
r
v
e
r
"
"
M
i
c
r
o
s
o
f
t
-
I
I
S
/
6
.
0
"
"
M
i
c
r
o
s
o
f
t
-
I
I
S
/
6
.
0
"
;
;
h
e
a
d
e
r
h
e
a
d
e
r
"
X
-
P
o
w
e
r
e
d
-
B
y
"
"
X
-
P
o
w
e
r
e
d
-
B
y
"
"
A
S
P
.
N
E
T
"
"
A
S
P
.
N
E
T
"
;
;
o
u
t
p
u
t
o
u
t
p
u
t
{
{
b
a
s
e
6
4
b
a
s
e
6
4
;
;
p
r
i
n
t
p
r
i
n
t
;
;
}
}
}
}
}
}
.
p
r
i
f
i
l
e
包
后
利
用
校
验
文
件
可
用
性
。
(
2
)
开
启
服
务
端
并
上
线
靶
机
测
试
。
(
3
)
执
行
测
试
命
令
后
抓
取
伪
造
的
G
E
T
流
量
包
。
c
2
l
i
n
t
.
/
t
e
a
m
s
e
r
v
e
r
1
0
.
1
0
.
1
0
.
1
0
1
2
3
4
5
6
c
2
-
p
r
o
f
i
l
e
/
i
m
g
t
e
s
t
.
p
r
o
f
i
l
e
(
4
)
伪
造
后
的
P
O
S
T
包
。
0
x
0
3
默
认
端
口
配
置
默
认
通
信
端
口
可
在
配
置
文
件
中
修
改
,
同
时
可
以
修
改
使
用
的
默
认
证
书
名
称
及
证
书
密
码
。
0
x
0
4
总
结
在
红
蓝
对
抗
中
,
如
果
未
修
改
C
S
、
冰
蝎
、
蚁
剑
等
武
器
的
特
征
,
不
需
要
蓝
队
人
工
的
参
与
,
就
会
被
安
全
设
备
发
现
,
但
人
永
远
比
机
器
聪
明
,
只
有
不
断
的
对
自
己
的
武
器
进
行
完
善
,
才
能
让
武
器
变
得
更
加
顺
手
。
免
责
声
明
:
本
文
仅
供
安
全
研
究
与
讨
论
之
用
,
严
禁
用
于
非
法
用
途
,
违
者
后
果
自
负
。
免
责
声
明
:
本
文
仅
供
安
全
研
究
与
讨
论
之
用
,
严
禁
用
于
非
法
用
途
,
违
者
后
果
自
负
。
R
e
f
e
r
e
n
c
e
s
C
o
b
a
l
t
S
t
r
i
k
e
t
e
a
m
s
e
r
v
e
r
M
a
l
l
e
a
b
l
e
C
2
:
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
r
s
m
u
d
g
e
/
M
a
l
l
e
a
b
l
e
-
C
2
-
P
r
o
f
i
l
e
s
一
如
既
往
的
学
习
,
一
如
既
往
的
整
理
,
一
如
即
往
的
分
享
。
感
谢
支
持
“
如
侵
权
请
私
聊
公
众
号
删
文
”
扫
描
关
注
扫
描
关
注
L
e
m
o
n
S
e
c
觉
得
不
错
点
个
觉
得
不
错
点
个
“
赞
赞
”
、
、
“
在
看
在
看
”
哦
哦
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT