Cobalt Strike安装及使用
简介
Cobalt Strike是一款用于模拟红队攻击的软件,其主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。Cobalt Strike(CS)的创始人是Raphael Mudge,他之前在2010年的时候就发布了一款MSF图形化工具Armitage。直到2012年,Raphael推出了Armitage的增强版Cobalt Strike。
文件介绍
#安装包中的文件
agscript拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver服务端程序
cobaltstrike,cobaltstrike.jar客户端程序(java跨平台)
logs目录记录与目标主机的相关信息
update,update.jar用于更新CS
third-party第三方工具
攻击流程
服务端(A机器在公网上)、客户端(B机器)、被攻击者(C网站)
客户端去控制服务器端对C网站进行攻击,得到了权限,通过CS的马,让CS得到了一个shell。
这样做的好处在于我们不用考虑我们自己电脑的关机之类的操作,因为建立连接的实际上是服务器与C网站,所以我们本地重启电脑,或者ip的变化都不会使得服务器与C网站的连接中断。同时如果出现问题,追查也只能查到服务器而不会找打你(当然真要查你是肯定跑不掉的)。
CS功能
- 团队协作:即时发送信息 + 权限共享
- 生成各种木马:
一句话木马(Webshell 要基于web环境(支持且运行))
系统木马(exe文件 dll文件 直接让windows运行的木马)
基于一定环境的木马(python java马) - 钓鱼攻击:内置了一些钓鱼攻击的模块(一键化制作钓鱼)
- 后渗透模块:提权、抓密码、文件操作、执行命令、键盘记录、截屏、内网探测、内网穿透、进程迁移(注入)
- 插件:CS可以自己写插件
使用工具
#实验规划
服务器(CS服务器端):kali 192.168.239.132
攻击机(CS端):本机 192.168.239.1
被攻击者:FTP服务器 192.168.239.254
服务器端
#将安装包上传到kali上,然后解压
┌──(root?kali)-[~]
└─# unzip cobaltstrike4.3.zip
#进入安装包的目录下
┌──(root?kali)-[~]
└─# cd cobaltstrike4.3
┌──(root?kali)-[~/cobaltstrike4.3]
└─# ls
agscript cobaltstrike.auth icon.jpg readme.txt third-party update.jar
c2lint cobaltstrike.exe license.pdf start.sh update
cobaltstrike cobaltstrike.jar peclone teamserver update.bat
#给teamserver文件可执行权限
┌──(root?kali)-[~/cobaltstrike4.3]
└─# chmod +x teamserver
#启动服务端服务,指定服务器ip和团队接入口令
┌──(root?kali)-[~/cobaltstrike4.3]
└─# ./teamserver 192.168.239.132 8848 #服务器ip为kali的ip,接入口令为8848
[*] Generating X509 certificate and keystore (for SSL)
[+] Team server is up on 0.0.0.0:50050
[*] SHA256 hash of SSL cert is: a64c760dea2ba96be3655c3bed353929005c8f25ad01ea56143e16893c17f2c
CS端
客户端的登录
运行程序cobaltstrike.exe
服务器指纹验证
创建监听端口
此时主机会显示监听开始
服务器上也会显示,在8808端口监听
生成可执行文件
被攻击端
获取到了可执行文件,然后运行了可执行文件
点击后,界面无任务回显,而此时CS端已显示受害机器已上线
之后在CS端就可以为所欲为了
大家可能觉得这种来路不明的exe文件肯定不会乱点,但是这是咱们,企业中的人可不管这些,这个还比较低端,我们再来一个隐晦点的
钓鱼攻击
制作office宏脚本文件
然后会生成以下界面,暂时不要管,我们先去创建一个word文档
生成宏文件
使用宏文件
将脚本文件通过邮件的方式发到被攻击端上
打开word文档,发现里面是空的怀疑是不是因为这个宏被禁用了导致图片什么的不能显示,然后就点击启用内容
然后在CS端就成功进行显示受害机器已上线
我这里word版本很新,所以默认禁用宏,如果不手痒去点击开启是没是的,但是在企业中大量的office2007,2010默认是开启的,所以只要打开就会中招