freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试神器Cobalt Strike使用教程
  • 关注
渗透测试神器Cobalt Strike使用教程
2018-04-08 14:59:14

Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。本期“安仔课堂”,ISEC实验室的陈老师带大家实战操作Cobalt Strike神器的使用。

团队作战图

换图.jpg

图1

渗透测试图

图片2.png

图2

一、基础使用

0x00 基础接触

图片3.png

图3

agscript拓展应用的脚本

c2lint 用于检查profile的错误异常

teamserver服务端程序

cobaltstrike,cobaltstrike.jar客户端程序(java跨平台)

logs目录记录与目标主机的相关信息

update,update.jar用于更新CS

third-party第三方工具

启动服务器

图片4.png

图4

客户端链接

图片5.png

图5

枚举用户

图片6.png

图6

用户通信

图片7.png

图7

0x01 进一步了解使用

CS Listener:

windows/beacon_dns/reverse_dns_txt

windows/beacon_dns/reverse_http x86/x64

windows/beacon_http/reverse_http x86/x64

windows/beacon_https/reverse_https x86/x64

windows/beacon_smb/bind_pipe x86/x64

windows/foreign/reverse_dns_txt

windows/foreign/reverse_http

windows/foreign/reverse_https

windows/foreign/reverse_tcp

Beacon为内置的Listener,即在目标主机执行相应的payload,获取shell到CS上;其中包含DNS、HTTP、SMB。

Foreign为外部结合的Listener,常用于MSF的结合,例如获取meterpreter到MSF上。

创建Beacon Listener

图片14.png

图8

创建Foreign Listener

图片15.png

图9

0x02途径

图片16.png

图10

选择Listener与生成的方法,有powershell、vba以及exe三种;

图片17.png

图11

选择powershell保存文件

图片18.png

图12

利用web服务,打开渠道

图片19.png

图13

图片20.png

图14

事件记录

图片21.png

图15

此时主机执行命令

图片22.png

图16

图片23.png

图17

默认拥有60s的心跳,避免流量太明显,可根据情况适当减少;

图片24.png

图18

通过Office宏

图片25.png

图19

26.png

图20

通过payload生成其他类型

27.png

图21

通过生成USB/CD自动播放exe

28.png

图22

设置保存的U盘路径

29.png

图23

30.png

图24

通过生成exe

31.png

图25

通过生成无状态服务的exe

32.png

图26

0x03 主机深入

Bypass UAC提高权限

33.png

图27

34.png

图28

获取hash

35.png

图29

使用Mimikatz获取密码

36.png

图30

Make Tokens,获取到hash将会存储在这里

37.png

图31

执行一些基本命令,获取主机相关信息

38.png

图32

39.png

图33

截图功能

40.png

图34

41.png

图35

配合MSF联动

42.png

图36

43.png

图37

44 (2).png

图38

0x04 渗透测试

45 (2).png

图39

端口扫描

46 (2).png

图40

IPC测试

47 (2).png

图41

与主机172.16.35.129同样的凭证,利用SMB Beacon拓展;

48 (2).png

图42

生成services.exe

49 (2).png

图43

上传到机子上

50 (2).png

图44

通过共享服务拓展内网

51 (2).png

图45

52 (2).png

图46

如果内网主机无法访问外网时,使用psexec;

53 (2).png

图47

拓扑图,发现psexec是通过中间主机一层代理过去了,可以观察上图中有个连接;

54 (2).png

图48

二、拓展使用

0x01 加载脚本

55 (2).png

图49

56 (2).png

图50

加载脚本之前与之后,进行对比可以发现多了几个模块;

57 (2).png

图51

可以正常使用加载的模块;

58 (2).png

图52

0x02 编写脚本

该脚本目的是通过命令shell操作对Guest用户设置密码;

59 (2).png

图53

其中菜单一个,item两个,Prompt_text 函数设置提示语,参数以及回调函数。效果如下:

60 (2).png

图54

主机上的效果:

61 (2).png

图55

0x03 定制数据包内容

检查profile 是否正常使用(利用c2lint);

62 (2).png

图56

实际测试捕捉的流量特征;

63 (2).png

图57

或者可以根据自己目标主机修改流量特征;

64.png

图58

三、资源链接

https://github.com/bluscreenofjeff/AggressorScripts

https://github.com/invokethreatguy/aggressor_scripts_collection

https://github.com/rsmudge/Malleable-C2-Profiles

https://blog.cobaltstrike.com/ =>作者博客

https://www.cobaltstrike.com/downloads/csmanual310.pdf =>官方文档

https://www.cobaltstrike.com/aggressor-script/index.html =>编写cna脚本文档

  

四、总 结

Cobaltstrike神器的功能是比较多的,如支持图形化操作,可以进行灵活拖拽等,更核心的地方在于理解CS的beacon在内网中的通信过程,这对于渗透测试者能否更进一步深入内网起到重要作用,也是神器的价值所在。管理员在管理内网时,应该及时打好补丁,增强安全意识。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者