初次使用cs
Cobalt Strike是一款滲透測試神器,常被業界人稱為CS神器。Cobalt Strike已經不再使用MSF而是作為單獨的平台使用,它分為客戶端與服務端,服務端是一個,客戶端可以有多個,可被團隊進行分布式協團操作。
Cobalt Strike集成了端口轉發、掃描多模式端口Listener、Windows exe程序生成、Windows dll動態鏈接庫生成、java程序生成、office宏代碼生成,包括站點克隆獲取瀏覽器的相關信息等。
我是看的一個大哥的教程,他寫的很詳細白嫖他的按自己的思路整理了一下
網址原創@小白白@推薦:https://blog.csdn.net/weixin_44677409/article/details/102725129
還有一個寫的好的網址:https://blog.csdn.net/qq_36374896/article/details/83961496
cs后滲透網址:http://blog.leanote.com/post/snowming/c34f9defe00c
參數詳解:
Cobalt Strike
New Connection # 新建連接,支持連接多個服務器端
Preferences # 設置Cobal Strike界面、控制台、以及輸出報告樣式、TeamServer連接記錄
Visualization # 主要展示輸出結果的視圖
VPN Interfaces # 設置VPN接口
Listenrs # 創建監聽器
Script Manager # 腳本管理,可以通過AggressorScripts腳本來加強自身,能夠擴展菜單欄,Beacon命令行,提權腳本等
Close # 退出連接
View
Applications # 顯示受害主機的應用信息
Credentials # 顯示所有以獲取的受害主機的憑證,如hashdump、Mimikatz
Downloads # 查看已下載文件
Event Log # 主機上線記錄以及團隊協作聊天記錄
Keystrokes # 查看鍵盤記錄結果
Proxy Pivots # 查看代理模塊
Screenshots # 查看所有屏幕截圖
Script Console # 加載第三方腳本以增強功能
Targets # 顯示所有受害主機
Web Log # 所有Web服務的日志
Attacks
Packages
HTML Application # 生成(executable/VBA/powershell)這三種原理實現的惡意HTA木馬文件
MS Office Macro # 生成office宏病毒文件
Payload Generator # 生成各種語言版本的payload
USB/CD AutoPlay # 生成利用自動播放運行的木馬文件
Windows Dropper # 捆綁器能夠對任意的正常文件進行捆綁(免殺效果差)
Windows Executable # 生成可執行exe木馬
Windows Executable(Stageless) # 生成無狀態的可執行exe木馬
Web Drive-by
Manage # 對開啟的web服務進行管理
Clone Site # 克隆網站,可以記錄受害者提交的數據
Host File # 提供文件下載,可以選擇Mime類型
Scripted Web Delivery # 為payload提供web服務以便下載和執行,類似於Metasploit的web_delivery
Signed Applet Attack # 使用java自簽名的程序進行釣魚攻擊(該方法已過時)
Smart Applet Attack # 自動檢測java版本並進行攻擊,針對Java 1.6.0_45以下以及Java 1.7.0_21以下版本(該方法已過時)
System Profiler # 用來獲取系統信息,如系統版本,Flash版本,瀏覽器版本等
Spear Phish # 魚叉釣魚郵件
Reporting
Activity Report # 活動報告
Hosts Report # 主機報告
Indicators of Compromise # IOC報告:包括C2配置文件的流量分析、域名、IP和上傳文件的MD5 hashes
Sessions Report # 會話報告
Social Engineering Report # 社會工程報告:包括魚叉釣魚郵件及點擊記錄
Tactics, Techniques, and Procedures # 戰術技術及相關程序報告:包括行動對應的每種戰術的檢測策略和緩解策略
Reset Data # 重置數據
Export Data # 導出數據,導出.tsv文件格式
Help
Homepage # 官方主頁
Support # 技術支持
Arsenal # 開發者
System information # 版本信息
About # 關於
工具欄
1.新建連接
2.斷開當前連接
3.監聽器
4.改變視圖為Pivot Graph(視圖列表)
5.改變視圖為Session Table(會話列表)
6.改變視圖為Target Table(目標列表)
7.顯示所有以獲取的受害主機的憑證
8.查看已下載文件
9.查看鍵盤記錄結果
10.查看屏幕截圖
11.生成無狀態的可執行exe木馬
12.使用java自簽名的程序進行釣魚攻擊
13.生成office宏病毒文件
14.為payload提供web服務以便下載和執行
15.提供文件下載,可以選擇Mime類型
16.管理Cobalt Strike上運行的web服務
17.幫助
18.關於
環境:團隊(服務端) kali 192.168.73.131
客戶機(客戶端可以有多個) win10(你也可以直接在kali里面連接,也就是也是服務端也是客戶端)
受害機 win7 192.168.73.133
工具包准備:cobaltstrike_3.14_pro(Github上面有很多資源自己下載一個)
或者cobaltstrike中文版
-
在團隊(服務端)啟動服務,Linux是使用工具包中的teamsever文件。進入工具包的文件夾路徑內,使用命令:
./teamserver
<host> 必需參數 團隊服務器IP <password> 必需參數 連接服務器的密碼 [/path/to/c2.profile] 可選參數 指定C2通信配置文件,體現其強大的擴展性 [YYYY-MM-DD] 可選參數 所有payload的終止時間發現需要設置host和password兩個參數,於是后面接上靶機的IP和設置一個密碼123456,開啟服務。
發現Linux默認端口號是65535,服務已開啟。命令:
./teamserver 192.168.73.131 123456
在windows中啟動服務端的話,主要是使用teamserver.bat腳本來運行
例:
-
在客戶機進行連接,進入cobaltstrike_3.14文件夾,雙擊打開cobaltstrike.bat文件。
輸入服務端連接地址,端口號和密碼。用戶名可以隨便填。連接成功
在底部event處可以發送消息進行聊天等,也可以連接多個連接。
linux中使用命令
./cobaltstrike 或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar -
准備階段已經結束,下面來開展使用的基本流程。
-
客戶端創建監聽器
點擊Cobalt Strike -> Listeners->Add,其中windows/beacon為內置監聽器,包括dns、http、https、smb四種方式的監聽器;windows/foreign為外部監聽器,配合Metasploit或者Armitage的監聽器。
(name隨便取,host為團隊服務器ip,端口為沒有被占用的任意端口)
-
生成木馬
點擊Attacks->Packages->HTML Application,選擇對應的監聽器,方法這里有三種(executable/VBA/powershell),選擇powershell,點擊Generate生成,選擇生成的路徑及文件名保存即可。
-
開啟web服務
點擊Attacks->Web Drive-by->Host File,選擇剛剛生成的木馬evil.hta文件,點擊Launch生成下載鏈接
-
運行木馬
打開受害機cmd,運行mshta命令。mshta.exe是微軟Windows操作系統相關程序,用於執行.HTA文件
返回客戶機查看cs發現肉雞已經上線
選中受害機右擊,選擇interact,即可進行交互(命令執行),由於受害機默認60秒進行一次回傳,為了實驗效果我們這里把時間設置成5,但實際中頻率不宜過快,容易被發現。
但是我們現在在實驗,為了方便可以設置為0或5秒
執行windows命令前面要加上shell,如:shell ipconfig
-
導出報告
點擊Reporting->Activity Report,導出默認PDF文檔
-
通過help命令可以查看Beacon Console的命令說明
Command Description ------- ----------- argue 進程參數欺騙 blockdlls 在子進程中阻止非Microsoft的DLLs文件 browserpivot 注入受害者瀏覽器進程 bypassuac 繞過UAC cancel 取消正在進行的下載 cd 切換目錄 checkin 強制讓被控端回連一次 clear 清除beacon內部的任務隊列 connect 通過TCP連接到Beacon covertvpn 部署Covert VPN客戶端 cp 復制文件 dcsync 從DC中提取密碼哈希 desktop 遠程VNC dllinject 反射DLL注入進程 dllload 使用LoadLibrary將DLL加載到進程中 download 下載文件 downloads 列出正在進行的文件下載 drives 列出目標盤符 elevate 嘗試提權 execute 在目標上執行程序(無輸出) execute-assembly 在目標上內存中執行本地.NET程序 exit 退出beacon getprivs 對當前令牌啟用系統權限 getsystem 嘗試獲取SYSTEM權限 getuid 獲取用戶ID hashdump 轉儲密碼哈希值 help 幫助 inject 在特定進程中生成會話 jobkill 殺死一個后台任務 jobs 列出后台任務 kerberos_ccache_use 從ccache文件中導入票據應用於此會話 kerberos_ticket_purge 清除當前會話的票據 kerberos_ticket_use 從ticket文件中導入票據應用於此會話 keylogger 鍵盤記錄 kill 結束進程 link 通過命名管道連接到Beacon logonpasswords 使用mimikatz轉儲憑據和哈希值 ls 列出文件 make_token 創建令牌以傳遞憑據 mimikatz 運行mimikatz mkdir 創建一個目錄 mode dns 使用DNS A作為通信通道(僅限DNS beacon) mode dns-txt 使用DNS TXT作為通信通道(僅限D beacon) mode dns6 使用DNS AAAA作為通信通道(僅限DNS beacon) mode http 使用HTTP作為通信通道 mv 移動文件 net net命令 note 給當前目標機器備注 portscan 進行端口掃描 powerpick 通過Unmanaged PowerShell執行命令 powershell 通過powershell.exe執行命令 powershell-import 導入powershell腳本 ppid 為生成的post-ex任務設置父PID ps 顯示進程列表 psexec 使用服務在主機上生成會話 psexec_psh 使用PowerShell在主機上生成會話 psinject 在特定進程中執行PowerShell命令 pth 使用Mimikatz進行傳遞哈希 pwd 當前目錄位置 reg 查詢注冊表 rev2self 恢復原始令牌 rm 刪除文件或文件夾 rportfwd 端口轉發 run 在目標上執行程序(返回輸出) runas 以另一個用戶權限執行程序 runasadmin 在高權限下執行程序 runu 在另一個PID下執行程序 screenshot 屏幕截圖 setenv 設置環境變量 shell cmd執行命令 shinject 將shellcode注入進程 shspawn 生成進程並將shellcode注入其中 sleep 設置睡眠延遲時間 socks 啟動SOCKS4代理 socks stop 停止SOCKS4 spawn 生成一個會話 spawnas 以其他用戶身份生成會話 spawnto 將可執行程序注入進程 spawnu 在另一個PID下生成會話 ssh 使用ssh連接遠程主機 ssh-key 使用密鑰連接遠程主機 steal_token 從進程中竊取令牌 timestomp 將一個文件時間戳應用到另一個文件 unlink 斷開與Beacon的連接 upload 上傳文件 wdigest 使用mimikatz轉儲明文憑據 winrm 使用WinRM在主機上生成會話 wmi 使用WMI在主機上生成會話可用help+命令的方式查看具體命令參數說明
-
-
接下來就是后滲透利用了