一弯菊、簡(jiǎn)介

Cobalt Strike是一款美國(guó)RedTeam開(kāi)發(fā)的滲透測(cè)試神器，常被業(yè)界人稱為CS。最近這個(gè)工具大火，成為了滲透測(cè)試中不可缺少的利器侨艾。其擁有多種協(xié)議主機(jī)上線方式，集成了提權(quán)拓挥，憑據(jù)導(dǎo)出唠梨，端口轉(zhuǎn)發(fā)，socket代理侥啤，office攻擊当叭，文件捆綁茬故，釣魚(yú)等功能。同時(shí)蚁鳖，Cobalt Strike還可以調(diào)用Mimikatz等其他知名工具磺芭，因此廣受黑客喜愛(ài)。Cobalt Strike分為客戶端和服務(wù)端可分布式操作可以協(xié)同作戰(zhàn)醉箕。但一定要架設(shè)在外網(wǎng)上钾腺。當(dāng)然你知道利用這款工具主要用于內(nèi)網(wǎng)滲透以及APT攻擊。

二讥裤、相關(guān)實(shí)驗(yàn)

環(huán)境：

服務(wù)端：KaliLinux（192.168.205.128）放棒；

客戶端：Windows10（192.168.60.49）；

靶機(jī)：WindowsServer2003（192.168.205.141）WindowsServer2008（192.168.205.136）

（一）啟動(dòng)己英、連接服務(wù)端

步驟一：服務(wù)端啟動(dòng)服務(wù)

將下載好的破戒版CS拷貝到Kali中運(yùn)行间螟，命令如下：

注：./teamserver+服務(wù)端IP地址+客戶端連接密碼（./teamserver 192.168.205.128 test）;

服務(wù)端運(yùn)行成功~

步驟二：客戶端連接

運(yùn)行破戒版文件夾中的“cs.bat”文件：

啟動(dòng)密碼為“test”，點(diǎn)擊連接

連接成功

（二）讓主機(jī)上線

步驟一：創(chuàng)建監(jiān)聽(tīng)器

點(diǎn)擊Save

創(chuàng)建成功

步驟二：創(chuàng)建payload损肛，讓靶機(jī)上線

保存厢破，文件名可以自定義，后綴名不能改變荧关！

將生成的artifact.exe拷貝到靶機(jī)（192.168.205.141）上運(yùn)行溉奕，主機(jī)上線：

靶機(jī)密碼為123456，經(jīng)試驗(yàn)復(fù)雜密碼也可查看忍啤。

除此之外加勤、可以查看上線主機(jī)的磁盤(pán)信息，進(jìn)行端口掃描同波，查看進(jìn)程等信息鳄梅。同理如果將生成的artifact.exe作為附件發(fā)送給其他人，只要有人點(diǎn)擊未檩，則他的機(jī)器會(huì)上線戴尸。不過(guò)現(xiàn)在的電腦都裝 了殺毒軟件，所以payload需做免殺冤狡。這個(gè)后續(xù)在研究孙蒙。

（三）結(jié)合metasploit反彈shell

步驟一：在kali中開(kāi)啟使用命令開(kāi)啟metasploit

步驟二：設(shè)置反彈shell的payload

payload運(yùn)行中~

步驟三：在靶機(jī)中創(chuàng)建監(jiān)聽(tīng)器

在靶機(jī)中使用Cobalt Strike創(chuàng)建一個(gè)windows/foreign/reverse_tcp的Listener。其中ip為Metasploit的ip地址悲雳，端口為Metasploit所監(jiān)聽(tīng)的端口挎峦。

點(diǎn)擊“Save”

右鍵選中增加會(huì)話

點(diǎn)擊Choose

正在反彈shell，有點(diǎn)兒慢

（四）使用office宏payload連接靶機(jī)

步驟一：生成office宏

選擇監(jiān)聽(tīng)器

步驟二：創(chuàng)建帶宏的word文件

在Word中使用組合鍵Alt+F8合瓢，打開(kāi)宏窗口創(chuàng)建宏坦胶；

將復(fù)制的payload代碼拷貝到宏中保存后退出即可

步驟三：運(yùn)行帶宏Word，連接CS客戶端

宏被禁止是因?yàn)閣ord中宏的安全全級(jí)別較高，將宏安全級(jí)別設(shè)置為最低即可顿苇，依次打開(kāi)“工具”峭咒、“宏”、“安全性”進(jìn)行以下設(shè)置纪岁；

再次運(yùn)行：

（五）信息搜集實(shí)驗(yàn)

步驟一：創(chuàng)建payload

英文字面意思

步驟二：測(cè)試

使用靶機(jī)訪問(wèn)http://192.168.205.128:80進(jìn)行測(cè)試凑队。是否可以返回靶機(jī)信息

·

注：可以通過(guò)https://bitly.com為http://192.168.205.128:80/生成url短鏈接，訪問(wèn)生成的短連接也可返回靶機(jī)信息蜂科；CS信息搜集作用不大顽决。

（六）hta網(wǎng)頁(yè)掛馬

步驟一：創(chuàng)建監(jiān)聽(tīng)器、生成hta

步驟二：使用文件下載

點(diǎn)擊開(kāi)始

OK

進(jìn)行完以上操作后导匣，服務(wù)端uploads目錄下會(huì)產(chǎn)生evil.hta文件：

步驟三：克隆網(wǎng)站

success

步驟四：靶機(jī)訪問(wèn)http://192.168.205.128:80/

鍵盤(pán)記錄，可以記錄被克隆網(wǎng)頁(yè)上的用戶輸入茸时，據(jù)此克隆其他網(wǎng)址亦可以記錄用戶輸入贡定；

（七）郵件釣魚(yú)

發(fā)送成功

成功接收郵件，運(yùn)行附件木馬文件或者訪問(wèn)釣魚(yú)網(wǎng)址都會(huì)向攻擊者返回信息

（八）Sock代理應(yīng)用

應(yīng)用環(huán)境：攻擊者不能訪問(wèn)內(nèi)網(wǎng)中其他網(wǎng)絡(luò)可都，但是肉雞可以訪問(wèn)（內(nèi)置雙網(wǎng)卡）缓待，這里通過(guò)CS借用肉雞實(shí)現(xiàn)內(nèi)網(wǎng)橫向滲透。

步驟一：設(shè)置代理端口

右鍵打開(kāi)

設(shè)置代理端口

步驟二：查看代理信息

點(diǎn)擊Tunnel

復(fù)制文本框中的內(nèi)容

步驟四：服務(wù)端利用msf模塊直接攻擊

將復(fù)制的命令直接在MSF中運(yùn)行渠牲，設(shè)置代理旋炒；

重新打開(kāi)終端，創(chuàng)建一個(gè)MSF窗口：

利用蠻舒服內(nèi)置的掃描工具探測(cè)內(nèi)網(wǎng)其他主機(jī)開(kāi)放的端口

（九）CS提權(quán)

步驟一：下載提權(quán)payload

GitHub - rsmudge/ElevateKit: The Elevate Kit demonstrates how to use third-party privilege escalation attacks with Cobalt Strike's Beacon payload.

解壓后

添加腳本

將解壓出來(lái)的文件夾加載到CS中签杈，利用其中的payload實(shí)現(xiàn)提權(quán)：

點(diǎn)擊打開(kāi)

對(duì)靶機(jī)進(jìn)行提權(quán)操作瘫镇，提升權(quán)限至system

正在通過(guò)payload進(jìn)行提權(quán)操作

我這里提示報(bào)錯(cuò)，通過(guò)提示可知答姥，payload通過(guò)修改rundll23來(lái)提升權(quán)限至system铣除，解決一下報(bào)錯(cuò)問(wèn)題提權(quán)應(yīng)該會(huì)成功~

成功后的提示：