0%

木马钓鱼

1. Cobalt Strike的安装和使用

Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。服务端是一个,客户端可以有多个,团队可进行分布式协团操作。,使用之前要自己先配置好java的环境。

1. 项目框架

image-20230712210115247

下载地址 提取码:t7in

· agscript:扩展应用的脚本

· c2lint:用于检查profile的错误和异常

· teamserver:服务器端启动程序

· cobaltstrike.jar:CobaltStrike核心程序

· cobaltstrike.auth:用于客户端和服务器端认证的文件,客户端和服务端有一个一模一样的

· cobaltstrike.store:秘钥证书存放文件

一些目录作用如下:

· data:用于保存当前TeamServer的一些数据

· download:用于存放在目标机器下载的数据

· upload:上传文件的目录

· logs:日志文件,包括Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等

· third-party:第三方工具目录

2. 工具的使用

将源文件下载下来后,将文件可以复制到kali中,我选择在kali上启动服务端,Windows系统上启动客户端

1. 服务端启动

​ 进入源文件目录

​ chmod 777 teamserver

​ 运行:./teamserver <你的Ip><登录该服务器的密码>

image-20230712210743984

2.客户端启动

​ 进入源文件目录

​ 双击start.bat文件

​ 连接:用户名随便取

image-20230712211319446

3. 参数详情

1. Cobalt Strik

New Connection # 新建连接,支持连接多个服务器端
Preferences # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization # 主要展示输出结果的视图
VPN Interfaces # 设置VPN接口
Listenrs # 创建监听器
Script Manager # 脚本管理,可以通过AggressorScripts脚本来加强自身,能够扩展菜单栏,Beacon命令行,提权脚本等
Close # 退出连接

2. View

Applications # 显示受害主机的应用信息
Credentials # 显示所有以获取的受害主机的凭证,如hashdump、Mimikatz
Downloads # 查看已下载文件
Event Log # 主机上线记录以及团队协作聊天记录
Keystrokes # 查看键盘记录结果
Proxy Pivots # 查看代理模块
Screenshots # 查看所有屏幕截图
Script Console # 加载第三方脚本以增强功能
Targets # 显示所有受害主机
Web Log # 所有Web服务的日志

3. Attacks
Packages

HTML Application # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro # 生成office宏病毒文件
Payload Generator # 生成各种语言版本的payload
USB/CD AutoPlay # 生成利用自动播放运行的木马文件
Windows Dropper # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
Windows Executable # 生成可执行exe木马
Windows Executable(Stageless) # 生成无状态的可执行exe木马

Web Drive-by

Manage # 对开启的web服务进行管理
Clone Site # 克隆网站,可以记录受害者提交的数据
Host File # 提供文件下载,可以选择Mime类型
Scripted Web Delivery # 为payload提供web服务以便下载和执行,类似于Metasploit的web_delivery
Signed Applet Attack # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack # 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler # 用来获取系统信息,如系统版本,Flash版本,浏览器版本等

Spear Phish

鱼叉钓鱼邮件

4. Reporting

Activity Report # 活动报告
Hosts Report # 主机报告
Indicators of Compromise # IOC报告:包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
Sessions Report # 会话报告
Social Engineering Report # 社会工程报告:包括鱼叉钓鱼邮件及点击记录
Tactics, Techniques, and Procedures # 战术技术及相关程序报告:包括行动对应的每种战术的检测策略和缓解策略
Reset Data # 重置数据
Export Data # 导出数据,导出.tsv文件格式

4. 工具栏

image-20230712211824750

2. Cobalt Strike的简介

1. 创建监听器

两种监听器

  • 内部:Beacon,自己使用的;包括dns、http、https、smb四种方式的监听器
  • 外部:Fooreign,常常需要联合其他工具使用,配合Metasploit或者Armitage的监听器。

image-20230712213001170

image-20230712213115853

2. 生成木马文件并远程控制

Attacks有几种,如下:

· HTML Application        生成一个恶意HTML Application木马,后缀格式为 .hta。通过HTML调用其他语 言的应用组件进行攻击,提供了 可执行文件、PowerShell、VBA三种方法。

· MS Office Macro        生成office宏病毒文件;

· Payload Generator       生成各种语言版本的payload,可以生成基于C、C#、COM Scriptlet、Java、Perl、 PowerShell、Python、Ruby、VBA等的payload

· Windows Executable      生成32位或64位的exe和基于服务的exe、DLL等后门程序

· Windows Executable(S)    用于生成一个exe可执行文件,其中包含Beacon的完整payload,不需要阶段性的请求。与Windows Executable模块相比,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本,可用于将Stageless Payload注入内存

1)HTML Application

image-20230712220250955

image-20230712220341345

image-20230712220418741

放在f盘保存

image-20230712220457091

image-20230712220611172

image-20230712220630660

image-20230712220719708

靶机拉取上面的木马文件,被留后门

然后连接靶机,先sleep 0,将心跳变为0,使得cmd命令可以立即执行。执行cmd命令时要在命令的前面加上shell

然后就为所欲为吧

2)Windows Executable(s)

image-20230713151237194

image-20230713151328464

选择端口号后生成木马

image-20230713151507928

将木马程序与普通安装程序压缩在一起

image-20230713151605895

进行相关配置,生成一个新的程序,生成的程序可以使用图标替换工具进行图标的替换,增加真实性和迷惑性

3)office宏病毒

打开正常的office文件,比如test.docx

视图-》宏-》查看宏

选择宏的位置为当前的文档-》输入宏名称-》创建

copy Macro粘贴到宏命令处

选否,另存为docm文件

诱导靶机点击文件并打开宏

--------------本文结束感谢您的阅读--------------