1. Cobalt Strike的安装和使用
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。服务端是一个,客户端可以有多个,团队可进行分布式协团操作。,使用之前要自己先配置好java的环境。
1. 项目框架
下载地址 提取码:t7in
· agscript:扩展应用的脚本
· c2lint:用于检查profile的错误和异常
· teamserver:服务器端启动程序
· cobaltstrike.jar:CobaltStrike核心程序
· cobaltstrike.auth:用于客户端和服务器端认证的文件,客户端和服务端有一个一模一样的
· cobaltstrike.store:秘钥证书存放文件
一些目录作用如下:
· data:用于保存当前TeamServer的一些数据
· download:用于存放在目标机器下载的数据
· upload:上传文件的目录
· logs:日志文件,包括Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等
· third-party:第三方工具目录
2. 工具的使用
将源文件下载下来后,将文件可以复制到kali中,我选择在kali上启动服务端,Windows系统上启动客户端
1. 服务端启动
进入源文件目录
chmod 777 teamserver
运行:./teamserver <你的Ip><登录该服务器的密码>
2.客户端启动
进入源文件目录
双击start.bat文件
连接:用户名随便取
3. 参数详情
1. Cobalt Strik
New Connection # 新建连接,支持连接多个服务器端
Preferences # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization # 主要展示输出结果的视图
VPN Interfaces # 设置VPN接口
Listenrs # 创建监听器
Script Manager # 脚本管理,可以通过AggressorScripts脚本来加强自身,能够扩展菜单栏,Beacon命令行,提权脚本等
Close # 退出连接
2. View
Applications # 显示受害主机的应用信息
Credentials # 显示所有以获取的受害主机的凭证,如hashdump、Mimikatz
Downloads # 查看已下载文件
Event Log # 主机上线记录以及团队协作聊天记录
Keystrokes # 查看键盘记录结果
Proxy Pivots # 查看代理模块
Screenshots # 查看所有屏幕截图
Script Console # 加载第三方脚本以增强功能
Targets # 显示所有受害主机
Web Log # 所有Web服务的日志
3. Attacks
Packages
HTML Application # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro # 生成office宏病毒文件
Payload Generator # 生成各种语言版本的payload
USB/CD AutoPlay # 生成利用自动播放运行的木马文件
Windows Dropper # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
Windows Executable # 生成可执行exe木马
Windows Executable(Stageless) # 生成无状态的可执行exe木马
Web Drive-by
Manage # 对开启的web服务进行管理
Clone Site # 克隆网站,可以记录受害者提交的数据
Host File # 提供文件下载,可以选择Mime类型
Scripted Web Delivery # 为payload提供web服务以便下载和执行,类似于Metasploit的web_delivery
Signed Applet Attack # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack # 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler # 用来获取系统信息,如系统版本,Flash版本,浏览器版本等
Spear Phish
鱼叉钓鱼邮件
4. Reporting
Activity Report # 活动报告
Hosts Report # 主机报告
Indicators of Compromise # IOC报告:包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
Sessions Report # 会话报告
Social Engineering Report # 社会工程报告:包括鱼叉钓鱼邮件及点击记录
Tactics, Techniques, and Procedures # 战术技术及相关程序报告:包括行动对应的每种战术的检测策略和缓解策略
Reset Data # 重置数据
Export Data # 导出数据,导出.tsv文件格式
4. 工具栏
2. Cobalt Strike的简介
1. 创建监听器
两种监听器
- 内部:Beacon,自己使用的;包括dns、http、https、smb四种方式的监听器
- 外部:Fooreign,常常需要联合其他工具使用,配合Metasploit或者Armitage的监听器。
2. 生成木马文件并远程控制
Attacks有几种,如下:
· HTML Application 生成一个恶意HTML Application木马,后缀格式为 .hta。通过HTML调用其他语 言的应用组件进行攻击,提供了 可执行文件、PowerShell、VBA三种方法。
· MS Office Macro 生成office宏病毒文件;
· Payload Generator 生成各种语言版本的payload,可以生成基于C、C#、COM Scriptlet、Java、Perl、 PowerShell、Python、Ruby、VBA等的payload
· Windows Executable 生成32位或64位的exe和基于服务的exe、DLL等后门程序
· Windows Executable(S) 用于生成一个exe可执行文件,其中包含Beacon的完整payload,不需要阶段性的请求。与Windows Executable模块相比,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本,可用于将Stageless Payload注入内存
1)HTML Application
放在f盘保存
靶机拉取上面的木马文件,被留后门
然后连接靶机,先sleep 0,将心跳变为0,使得cmd命令可以立即执行。执行cmd命令时要在命令的前面加上shell
然后就为所欲为吧
2)Windows Executable(s)
选择端口号后生成木马
将木马程序与普通安装程序压缩在一起
进行相关配置,生成一个新的程序,生成的程序可以使用图标替换工具进行图标的替换,增加真实性和迷惑性
3)office宏病毒
打开正常的office文件,比如test.docx
视图-》宏-》查看宏
选择宏的位置为当前的文档-》输入宏名称-》创建
copy Macro粘贴到宏命令处
选否,另存为docm文件
诱导靶机点击文件并打开宏