风炫安全之CobaltStrike系列视频教程

https://www.bilibili.com/video/BV1P64y1f7e1?p=1

个人介绍

主攻方向：Web安全、网络安全、安全开发。

ID：风炫

知识库：https://evalshell.com

这节课讲解： 定制化Cobalt Strike配置文件

教程只是为了提供学习和研究，所有技术切勿用于非法用途！

Cobalt Strike 介绍

Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。 早期版本Cobalt Srtike依赖Metasploit框架，而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用1。 这个工具的社区版是大家熟知的Armitage(一个MSF的图形化界面工具)，而Cobalt Strike大家可以理解其为Armitage的商业版。

本文讲解4.0版本

官方网站： https://www.cobaltstrike.com/

CS的发展

Armitage [2010-2012]

Armitage是一个红队协作攻击管理工具，它以图形化方式实现了Metasploit框架的自动化攻击。Armitage采用Java构建，拥有跨平台特性。

Cobalt Strike 1.x [2012-2014]

Cobalt Strike 增强了Metasploit Framework在执行目标攻击和渗透攻击的能力。

Cobalt Strike 2.x [2014-?]

Cobalt Strike 2是应模拟黑客攻击的市场需求而出现的，Cobalt Strike 2是以malleable C2技术的需求为定位的，这个技术使Cobalt Strike的能力更强了一些。

Cobalt Strike 3.x [2015-?]

Cobalt Strike 3的攻击和防御都不用在Metasploit Framework平台（界面）下进行

Cobalt Strike 4.x [2019-?]

这个版本改进了Cobalt Strike的分布式操作模型，修改了开发后的工作流程以减少一些历史包袱，并为特权升级和横向移动添加了“自带武器”工作流。

Cobalt Strike的C/S架构

img

• 客户端(Client GUI) Swing
  • 团队成员使用的图形化界面
• 服务器(Team Server)
  • 控制 - Team Server是Cobalt Strike中所有payload的主控制器，与victim的所有连接bind/reverse都由Team Server管理。
  • 日志记录 - Cobalt Strike中发生的所有事件 保存在logs文件夹
  • 信息搜集 - 收集在后渗透阶段发现的、或攻击者在目标系统上用于登录的所有凭据credentials
  • 自定义脚本 - cat teamserver可看到该文件是一个简单的bash脚本(可根据自己要求修改) 调用Metasploit RPC服务msfrpcd并启动服务器cobaltstrike.jar

运行环境

• Team Server 推荐运行环境

  • Kali Linux 1.0, 2.0 – i386 and AMD64
  • Ubuntu Linux 12.04, 14.04 – x86, and x86_64

• Client GUI 运行环境

  • Windows 7 and above
  • macOS X 10.10 and above
  • Kali Linux 1.0, 2.0 – i386 and AMD64
  • Ubuntu Linux 12.04, 14.04 – x86, and x86_64

功能了解

Listenrs

任何行动的第一步都是建立基础设施。就 Cobalt Strike 而言，基础设施由一个或多个团队服务器、重定向器以及指向你的团队服务器和重定向器的 DNS 记录组成。一旦团队服务器启动并运行，你将需要连接到它并将其配置为接收来自受害系统的连接。监听器就是 Cobalt Strike 中用来执行这种任务的机制。
一个监听器既是一个 payload 的配置信息，同时又是 Cobalt Strike 起一个服务器来接收来自这个payload 的连接的指示。一个监听器由用户定义的名称、payload 类型和几个特定于 payload 的选项组成。

使用Cobalt Strike首先需要创建一个Listener,依次点击 Cobalt Strike -> Listeners ，然后点击Add便可以创建自己想要的Listeners
除了以下标为x86/x64，其它只支持32位

windows/beacon_dns/reverse_dns_txt
windows/beacon_dns/reverse_http x86/x64
windows/beacon_http/reverse_http x86/x64
windows/beacon_https/reverse_https x86/x64
windows/beacon_smb/bind_pipe x86/x64
windows/foreign/reverse_dns_txt
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcp

其中windows/beacon为内置监听器，包括dns、http、https、smb四种方式的监听器；windows/foreign为外部监听器，配合Metasploit或者Armitage的监听器。

通常被控制的主机每60秒发送一心跳，如果平常不用基本是没有什么流量。

<img src="http://i.imgur.com/8dv8wor.jpg" alt="img" style="zoom:50%;" />

View

Applications -> 获取浏览器版本信息
Credentials -> 凭证，当通过hashdump或者Mimikatz抓取过的密码都会储存在这里。
Downloads -> 下载文件
Event Log -> 主机上线记录，以及团队协作聊天记录
Keystrokes -> 键盘记录
Proxy Pivots -> 代理模块
Screenshots -> 进程截图
Script Console -> 控制台
Targets -> 显示目标
Web Log -> Web访问记录

Attack

Packages

HTML Application   # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro   # 生成office宏病毒文件
Payload Generator   # 生成各种语言版本的payload
USB/CD AutoPlay   # 生成利用自动播放运行的木马文件
Windows Dropper   # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
Windows Executable   # 生成可执行exe木马
Windows Executable(Stageless)   # 生成无状态的可执行exe木马

Web Drive-by

Manage   # 对开启的web服务进行管理
Clone Site   # 克隆网站，可以记录受害者提交的数据
Host File   # 提供文件下载，可以选择Mime类型
Scripted Web Delivery   # 为payload提供web服务以便下载和执行，类似于Metasploit的web_delivery 
Signed Applet Attack   # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack   # 自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler   # 用来获取系统信息，如系统版本，Flash版本，浏览器版本等
Spear Phish   # 鱼叉钓鱼邮件