利用Cobalt strike一步步教你发送钓鱼邮件

*本文原创作者：rj00，本文属FreeBuf原创奖励计划，未经许可禁止转载

前几天，在freebuf上就发表了新的Cobalt strike，提权利器Cobalt Strike发布3.6版本，介绍什么的就不多说，我们试着利用Cobalt strike进行钓鱼邮件的制作及发送。

0×01 利用Cobalt strike制作一个word宏病毒

首先我们需要制作一个word宏病毒来进行远控操作。在Cobalt strike中，需要新建一个监听程序来进行监听，如下图：

然后点击attacks -> packages -> ms office macro，如下图所示：

选择前面所创建的listener，如下：

复制宏内容，然后打开一个word文档，添加宏，记得添加的地方不能有误，添加宏的位置在 视图 -> 宏。创建宏以后添加代码是在project中，这点不能搞错，如下图。

添加完成以后，只需要保存为启用宏的word就可以了，这样就制作为一个word宏病毒文件。

这样就可以发送了，但是为了提高钓鱼的成功率，可以再进行一个钓鱼网页的制作。

0×02 利用Cobalt strike克隆网站

制作钓鱼页面的主要目的就是让受害者输入账号密码，从而攻击者得到该账号密码。

依次点击attacks -> web drive-by -> clone site ，如下图所示。

clone url填写需要克隆网站的url后面填写本地就可以，在真实的渗透中，应当是拿下一台二级域名的站，然后进行挂链接.

然后访问该网站就搭建成功。

现在钓鱼链接我们有了，word木马也有了，我们就可以发送钓鱼邮件了，Cobalt strike也集成了钓鱼邮件发送的功能。

0×03 利用Cobalt strike发送钓鱼邮件

利用前面步下的路，我们就可以进行钓鱼邮件的发送，这也是非常简单的。该功能在attacks -> spear phish 点开以后如下：

targets是要发送邮箱地址的文件，比如：

[email protected]

[email protected]

template是要发送邮件的模板，这个可以在个人邮箱中导出一个即可。

attachment放入我们搞好的word

embed url填写搭建好的网站，然后配置好mailserver，bounce to 是模仿发件人，自己添写即可，然后就可以愉快的发送钓鱼邮件啦~

0×04 总结

个人觉得，该软件是一款非常棒的工具，而且可以协同工作，使用好有非常大的攻击能力，而且生成的payload可以过一部分杀毒软件。

有什么问题可以继续讨论~

*本文原创作者：rj00，本文属FreeBuf原创奖励计划，未经许可禁止转载

rj00 2篇文章 等级：2级

 

   |

  |

• 上一篇：Snuck：一款自动化XSS漏洞扫描工具（含下载）
• 下一篇：Shadow Brokers决定退隐江湖，并放出方程式免费入侵工具（附下载地址）

这些评论亮了

• jackhool (1级) 回复
  不出半个月里面的payload都被杀
  ) 8 ( 亮了
• 
  taylorwin (5级) 回复
  Cobalt strike 又要被玩坏的节奏了。
  ) 7 ( 亮了

发表评论

已有 13 条评论

• 

  taylorwin  (5级)  2017-01-13 回复 1楼

  Cobalt strike 又要被玩坏的节奏了。

  亮了( 7)
• jackhool  (1级)  2017-01-13 回复 2楼

  不出半个月里面的payload都被杀

  亮了( 8)
  • rj00  (2级) yangge  2017-01-13 回复

    @ jackhool  说的好像现在不被杀一样。。360几乎都可以检测出来

    亮了( 5)
• 

  974168625  (1级)  2017-01-13 回复 3楼

  貌似现在好多都是wps，一些公司内的才会使用宏了吧。。我有说错吗？

  亮了( 4)
  • rj00  (2级) yangge  2017-01-13 回复

    @ 974168625  诱导点击，很简单 正常人 谁听说过宏

    亮了( 3)
    • 

      不是正常人  2017-01-13 回复

      @ rj00  内个，，您不是正常人么

      亮了( 3)
• 卡a啊住了  (1级)  2017-01-13 回复 4楼

  还是先拿那个二级域名站去了~~~~~~~

  亮了( 4)
• 

  global_hacker  (4级)  2017-01-13 回复 5楼

  要 现有二级域名站的权限在 群钓鱼 才有 效果

  亮了( 3)
• 

  langyajiekou  (5级)  2017-01-13 回复 6楼

  Office360中，GPO 可以禁用WORD附件宏代码。

  亮了( 3)
• mtfly  (1级) 这个人很懒  2017-01-13 回复 7楼

  就算是免杀的，360也会拦截很多行为的。

  亮了( 3)
• 

  cwg2552298  (6级) Follow my own course  2017-01-13 回复 8楼

  内网骗骗同学还是可以的吧

  亮了( 1)
• 

  a#root  2017-01-14 回复 9楼

  这个工具可以实现外网环境的远控？ 我测试了一下不行 求教程。

  亮了( 0)
  • rj00  (2级) yangge  2017-01-14 回复

    @ a#root 我会再写一篇的~