首先,有没有师傅研究沙箱环境流量及溯源流量的,最近想写一个工具,从头在看go
直连使用这种冒用证书是做不到上线的,但是结合云函数就可以实现上线的作用,在测绘数据看来证书信息也是冒用证书的信息。
客户端连接云函数服务器使用的是云函数的证书信息,云函数转发数据到c2主机不会校验目标证书真实性。
kun'yu集成这个可以在溯源的时候针对性的扫描,因为目标cobaltstrike的端口可能并不是一直开着的
所以公网测绘在扫描的时候就可能漏掉一些已关停的。
市面上的测绘平台也没那么大的资源去大规模扫描,所以作为一个单独的客户端扫描可能更合适。
