前言:
一款非常优秀的后渗透平台
工具基于java,大部分功能在改进的基础上还是相对比较实用的,非常适合团队间协同作战。简称CS
一、后渗透神器Cobalt Strike的安装
安装教程参考这篇文章。
我这边不在阐述
利用钓鱼邮件实现钓鱼攻击
首先,尝试利用 ‘System Profiler’ 模块,搜集目标的各类机器信息,比如,目标用的什么版本的操作系统,什么浏览器,详细版本是多少
有没有装flash,flash具体版本又是多少[低版本可以挂马],看能不能看到目标内网ip段,大概目测估计下目标内网有多大,有了这些基础信息以后
后期我们就可以针对性的写信发信,还是那句话,实际中最好用域名,因为这里是实验所以才直接用的ip,发信时最好用html伪装个比较”到位”的链接
关于写信发信又是另一个比较’专业’的技术点,个人能力有限,这里暂不涉及,嘿嘿……下面就给大家简单的看下实际的效果
访问url,收集到版本信息,服务器等信息
利用’hta payload’配合’文件下载’模块向目标发送各种钓鱼链接
首先,创建一个hta的payload,这里的payload暂时只支持三种可执行格式,exe,powershell和vba(宏)
实际中更推荐用powershell,成功率相对较高,好处就不多说了,免杀,灵活…
点击Attacks-->packages --> HTML Application
弹出的对话框method选择powershell
点击生成文件
通过钓鱼的方式把生成的hta文件通过邮件的方式,发送给其他用户
0x02 把生成的恶意文件伪装一下,利用邮件方式把恶意的文件发送给受害者,欺骗受害者点击该邮件
垃圾邮件,先把所有的目标邮箱放到一个文件中,然后再去找个准备用来钓鱼的邮件,写完信以后记得先预览下,看看实际效果,然后再配置好用来发送邮件的公共邮件服务器,另外,实际中大家最好用手中已有的各种匿名邮箱来发[反正只要不泄露私人信息会容易被人追踪到的邮箱都可以],这很重要……
邮件发送成功
登陆邮箱查看有没有收到邮件
点击下载,并运行附件,运行成功之后,可以看到用户名,pid等一些信息
获取hash
故事还没有结束~
本喵会好好努力哒!!!!!
更新
利用WEB页面实现钓鱼攻击
1、提两个基础用法命令
枚举在线的用户
/names
用户通信
/msg neo the target is pwn
2、克隆网站
Attacks->Web Driver-by->Clone site
输入要克隆的网址,需要勾选上Log keystrokes来记录输入
3、然后在肉鸡上访问攻击机IP,访问克隆的网页
4、当受害者输入了用户名密码,CS在日志里会有记录
5、我们发现即使受害者输入正确的账号密码系统也会无法登陆,然后会自动跳转到正确的登录界面,事实上我们还可以实现主动跳转到任意界面。(生成新的页面之前,需要把manage里面的内容kill掉,重新建立一个会话)
防止没有主动跳转到正确的页面我们可以选择主动跳转到正确页面
点击
Attacks->Web Driver-by->System Profiler
6、当我们访问192.168.5.145:81时会自动跳转到登录页面
在选择克隆站点时,点击attack右边的…选择我们创建端口为81的profiler
7、当我们我们访问80端口点击确认后会跳转到正确的登录界面
利用office宏钓鱼
尝试利用office宏钓鱼,并不推荐直接这样搞,因为office默认是不启用宏的,不过,可以尝试配合利用一些已经爆出来的相对比较新office 0day来搞,注意平时自己用office一定要禁用无数字签证的宏,切莫信任vba
office钓鱼在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序,例如远控木马或者勒索病毒等。
Cobalt Strike office钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行
具体操作
点击
Attacks-Packages-MS office Macro
https://klionsec.github.io/2017/09/23/cobalt-strike/
https://guolala.top/2018/12/03/Cobalt-Strike%E7%9A%84%E4%BD%BF%E7%94%A8/
https://klionsec.github.io/2017/09/23/cobalt-strike/
没写完
