普通CS没有做流量混淆会被防火墙拦住流量，所以偶尔会看到CS上线了机器但是进行任何操作都没有反应。这里尝试一下做流量混淆。参考网上的文章，大部分是两种方法，一种更改teamserver 里面与CS流量相关的内容，一种是利用Keytool工具生成新的store证书。而我们需要做的修改大概为3个地方，这应该是最基础的去流量特征。

证书修改

Keytool是一个java数据证书的管理工具，Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。修改.store文件可以隐藏teamsrver的特征，避免被网络空间搜索引擎发现，同时需要修改默认端口。查看证书内容keytool -list -v -keystore cobaltstrike.store，可以看到很多特征信息。

先删除store文件，按照如下代码修改证书信息

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=CC, OU=HW, O=IBM, L=AD, ST=AC, C=AV"

复制

生成证书文件

keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

复制

修改端口 编辑teamserver文件，将端口从50050修改为50005

修改默认端口

编辑teamserver文件，更改server port部分 50050，虽然意义不大，但还是最好改下

流量伪装

流量伪造主要使用Malleable-C2-Profiles脚本，github搜索即可。

先来看发现4.1的流量，wireshark使用ip.addr == vpsip and tcp.port == 81 and http命令抓包发现流量内通已经加密

但依然可以post请求中可以发现cs的特征。

使用Malleable-C2-Profiles来隐藏流量

使用方法：./teamserver [external IP] [password] [/path/to/my.profile]

配置后需要重新生成shellcode，执行后发现post数据包为amazon内容。

部分代码如下