CS工具的安装及使用

Cobalt Strike安装及使用

简介

Cobalt Strike是一款用于模拟红队攻击的软件,其主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。Cobalt Strike(CS)的创始人是Raphael Mudge,他之前在2010年的时候就发布了一款MSF图形化工具Armitage。直到2012年,Raphael推出了Armitage的增强版Cobalt Strike。

文件介绍

#安装包中的文件
agscript拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver服务端程序
cobaltstrike,cobaltstrike.jar客户端程序(java跨平台)
logs目录记录与目标主机的相关信息
update,update.jar用于更新CS
third-party第三方工具

攻击流程

服务端(A机器在公网上)、客户端(B机器)、被攻击者(C网站)

客户端去控制服务器端对C网站进行攻击,得到了权限,通过CS的马,让CS得到了一个shell。

这样做的好处在于我们不用考虑我们自己电脑的关机之类的操作,因为建立连接的实际上是服务器与C网站,所以我们本地重启电脑,或者ip的变化都不会使得服务器与C网站的连接中断。同时如果出现问题,追查也只能查到服务器而不会找打你(当然真要查你是肯定跑不掉的)。

CS功能

  • 团队协作:即时发送信息 + 权限共享
  • 生成各种木马
    一句话木马(Webshell 要基于web环境(支持且运行))
    系统木马(exe文件 dll文件 直接让windows运行的木马)
    基于一定环境的木马(python java马)
  • 钓鱼攻击:内置了一些钓鱼攻击的模块(一键化制作钓鱼)
  • 后渗透模块:提权、抓密码、文件操作、执行命令、键盘记录、截屏、内网探测、内网穿透、进程迁移(注入)
  • 插件:CS可以自己写插件

使用工具

#实验规划
服务器(CS服务器端):kali 192.168.239.132
攻击机(CS端):本机  192.168.239.1
被攻击者:FTP服务器 192.168.239.254

服务器端

#将安装包上传到kali上,然后解压
┌──(root?kali)-[~]
└─# unzip cobaltstrike4.3.zip  
#进入安装包的目录下
┌──(root?kali)-[~]
└─# cd cobaltstrike4.3 

┌──(root?kali)-[~/cobaltstrike4.3]
└─# ls
agscript      cobaltstrike.auth  icon.jpg     readme.txt  third-party  update.jar
c2lint        cobaltstrike.exe   license.pdf  start.sh    update
cobaltstrike  cobaltstrike.jar   peclone      teamserver  update.bat
                                                                                         #给teamserver文件可执行权限               
┌──(root?kali)-[~/cobaltstrike4.3]
└─# chmod +x teamserver    

#启动服务端服务,指定服务器ip和团队接入口令
┌──(root?kali)-[~/cobaltstrike4.3]
└─# ./teamserver 192.168.239.132 8848       #服务器ip为kali的ip,接入口令为8848
[*] Generating X509 certificate and keystore (for SSL)
[+] Team server is up on 0.0.0.0:50050
[*] SHA256 hash of SSL cert is: a64c760dea2ba96be3655c3bed353929005c8f25ad01ea56143e16893c17f2c

CS端

客户端的登录

运行程序cobaltstrike.exe

1657085707835

1657085842565

服务器指纹验证

1657085884764

创建监听端口

1657085940540

1657085982095

1657086092641

此时主机会显示监听开始

1657086132629

服务器上也会显示,在8808端口监听

1657086185388

1657086204667

生成可执行文件

1657086232316

1657086295898

1657086318628

1657086355720

被攻击端

获取到了可执行文件,然后运行了可执行文件

点击后,界面无任务回显,而此时CS端已显示受害机器已上线

1657086437893

之后在CS端就可以为所欲为了

1657086833647

大家可能觉得这种来路不明的exe文件肯定不会乱点,但是这是咱们,企业中的人可不管这些,这个还比较低端,我们再来一个隐晦点的

钓鱼攻击

制作office宏脚本文件

1657087424147

1657087931433

1657087984639

1657091307390

然后会生成以下界面,暂时不要管,我们先去创建一个word文档

1657091330338

生成宏文件

1657091439009

1657091491881

1657088264971

1657088284452

1657088336897

1657091518704

1657091559855

1657091589322

1657091717069

使用宏文件

将脚本文件通过邮件的方式发到被攻击端上

1657093309664

打开word文档,发现里面是空的怀疑是不是因为这个宏被禁用了导致图片什么的不能显示,然后就点击启用内容

1657092880025

然后在CS端就成功进行显示受害机器已上线

1657092870661

我这里word版本很新,所以默认禁用宏,如果不手痒去点击开启是没是的,但是在企业中大量的office2007,2010默认是开启的,所以只要打开就会中招

留下评论