Cobaltstrike渗透测试框架

Cobaltstrike简介

cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户
端,一个客户端可以连接多个服务端,可被团队进行分布式协团操作.
和MSF关系
metasploit是一款开源框架,armitage是metasploit框架的图形化界面方式,cobalt strike是armitage的增
强版,同时也是收费软件。cobalt strike在2.0版本还是依托metasploit,在3.0之后的版本使用单独的平台。

目录结构

agscript 拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver 服务端程序
cobaltstrike,cobaltstrike.jar 客户端程序( java跨平台)
logs 目录记录与目标主机的相关信息
update,update.jar 用于更新CS
third-party 第三方工具

部署teamserver

需要java环境 默认服务端安装在linux平台
#!/bin/bash
tar -zxvf jdk-8u321-linux-x64.tar.gz -C /usr/lib/
echo "export JAVA_HOME=/usr/lib/jdk1.8.0_321/" >> /etc/profile
echo "export JRE_HOME=/usr/lib/jdk1.8.0_321/jre" >> /etc/profile
echo "export PATH=\$JAVA_HOME/bin:\$JAVA_HOME/jre/bin:\$PATH" >> /etc/profile
echo "export CLASSPATH=\$CLASSPATH:.:\$JAVA_HOME/lib:\$JAVA_HOME/jre/lib" >>/etc/profile
source /etc/profile
rm jdk-8u321-linux-x64.tar.gz
保存为 install.sh ,运行 chmod +x install.sh ./install.sh 执行,执行完成后再执行一次 source
/etc/profile ,然后输入 java -version ,返回 java 版本即安装成功。
yum search java|grep jdk
yum install java-1.8.0-openjdk*
上传CS到VPS
赋予teamserver可执行权限
修改默认端口
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
必填参数host 本服务器外网IP/域名
必填参数password Client GUI连接时需要输入的密码 可选参数Malleable C2 communication profile 指定C2通信配置文件 该功能体现了CS的强大扩展性
可选参数kill date 指定所有payload的终止日期

客户端连接

需要java环境
Start.bat
java.exe -Dfile.encoding=UTF-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -
Xms512m -Xmx4048m -jar cobaltstrike.jar

Cobaltstrike基本使用

常用功能

顶部菜单 主要使用cobaltstrike,View和Attack Cobaltstrike 菜单
New Connection # 进行另外一个连接,支持连接多个服务器端
Preferences # 设置 Cobal Strike 界面、控制台、以及输出报告样式 TeamServer 连接记录。
Visualization # 主要展示输出结果的形式
VPN Interfaces # 设置 VPN 接口
Listenrs # 创建一个 Listener
Script Manager # 脚本管理
Close # 退出连接

View菜单

Applications # 显示受害主机的应用信息
Credentials # 显示所有以获取的受害主机的凭证,如 hashdump Mimikatz
Downloads # 查看已下载文件
Event Log # 主机上线记录以及团队协作聊天记录
Keystrokes # 查看键盘记录结果
Proxy Pivots # 查看代理模块
Screenshots # 查看所有屏幕截图
Script Console # 加载第三方脚本以增强功能
Targets # 显示所有受害主机
Web Log # 所有 Web 服务的日志

Attack菜单

packages
HTML Application # 生成 (executable/VBA/powershell) 这三种原理实现的恶意 HTA 木马文件
MS Office Macro # 生成 office 宏病毒文件
Payload Generator # 生成各种语言版本的 payload
USB/CD AutoPlay # 生成利用自动播放运行的木马文件
Windows Dropper # 捆绑器能够对任意的正常文件进行捆绑 ( 免杀效果差 )
Windows Executable # 生成可执行 exe 木马
Windows Executable(Stageless) # 生成无状态的可执行 exe 木马
Web Drive-by
Manage # 对开启的 web 服务进行管理
Clone Site # 克隆网站,可以记录受害者提交的数据
Host File # 提供一个文件下载,可以修改 Mime 信息
Scripted Web Delivery # payload 提供 web 服务以便下载和执行 类似于 Metasploit web_delivery
Signed Applet Attack # 使用 java 自签名的程序进行钓鱼攻击 ( 该方式已过时 )
Smart Applet Attack # 自动检测 java 版本并进行攻击,针对 Java 1.6.0_45 以下以及 Java 1.7.0_21 以下版本
System Profiler # 用来获取一些系统信息,比如系统版本, Flash 版本,浏览器版本等
Spear Phish # 用来邮件钓鱼的模块 , 鱼叉钓鱼攻击

工具栏,即菜单栏中的部分功能

① Connect to team server :连接服务端
② Disonnect from team server :断开当前服务端连接
③ Configure Listeners :配置监听器
④ Show sessions in graph view :展示会话列表
⑤ Show sessions in table view :展示视图列表
⑥ Show targets in table view :展示目标列表
⑦ Credentials :查看从靶机获取的账户密码
⑧ Downloaded Files :查看从靶机下载的文件
⑨ Keystrokes :查看键盘记录
⑩ Screenshots :查看屏幕截图
⑪ Generate Windows Executable (Stageless) :生成无状态的 EXE 木马
⑫ Setup java Signed Applet Attack :开启 Web 服务为自签名 Java Applet 提供运行环境
⑬ MS Office Macro Attack :生成 OFFICE 宏病毒文件
⑭ Setup Scripted Web-Delivery (Stageless) :开启 Web 服务,供下载和执行 Payload
⑮ Host a file :开启 Web 服务,供下载文件
⑯ Manage Web Server :管理 Web 服务
⑰ Help :帮助文档
⑱ About :关于 Cobalt Strike

团队协作

1、多个客户端连接同一个服务端
2、一个客户端连接多个服务端

Cobaltstrike监听器详解

beacon

beacon指的是受害者与我们的teamserver所建立的这个连接,也可以理解成我们所获的的对方主机的控制权

listeners

Listener是用来接收Beacon请求信息的Cobalt Strike模块 ,其中包含DNS、HTTP、SMB、tcp为内置listener。

Foreign

Foreign为外部结合的Listener,常用于MSF的结合,例如获取meterpreter到MSF上

创建listener

Beacon HTTP&HTTPS(以HTTP或HTTPS协议流量建立Beacon连接)
NAME: 监听器名
Payload: 创建监听器所选用的 payload 和传输协议
HTTP Hosts: 回连主机
Host Rotation Strategy:cs4.3 新增在 beacon 通信时,可以选择更多的轮询方案以逃避检测、阻断, beacon 回连主机策略
HTTP Host(stager): 配置 Stager 主机,仅当 Payload 明确需要 Stager 配合时有效
Profile Malleable C2 配置文件,用于自定义通信流量特征
HTTPS Port (C2) Beacon 回连的监听端口
HTTPS Port (Bind) :绑定监听端口,实现端口重定向
HTTPS Host Header :设置内层真实域名,在使用域前置技术时使用
HTTPS Proxy :为 Payload 指定代理 Beacon DNS(以DNS协议流量建立Beacon连接)
DNS Hosts:Beacon回连的主机,可以添加多个
Host Rotation Strategy:Beacon回连主机策略
HTTP Host (Stager):配置Stager主机,仅当Payload明确需要Stager配合时有效
Profile:Malleable C2配置文件,用于自定义通信流量特征
DNS Port (Bind):绑定监听端口,实现端口重定向 DNS Resolver:指定NS服务器
Beacon SMB(以SMB协议流量建立Beacon连接)适用于内网横向
windows/beacon_smb/bind_pipe
官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
前提条件
具有 SMB Beacon 的主机必须接受 445 端口上的连接。
只能链接由同一个 Cobalt Strike 实例管理的 Beacon。
利用这种beacon横移必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。
Beacon tcp(仅与父 Beacon 通信)适用于内网横向移动
windows/beacon_tcp/bind_tcp
命令格式同smb相似,不过此处连接目标IP的命令不是link,而是connect。取消连接目标机器的话对应的命 令与smb同为unlink

Cobaltstrike上线Beacon

Beacon使用

在目标上线CS后,右键目标interact使用Beacon
Tips:在Cobalt Strike中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机与teamserver通信一次)
如果sleep时间过长,在下载文件面前更为明显,所以在测试时会把时间降低一点 。所以拿到beacon一般先执
行sleep
大家可以根据实战环境来调节,建议不要太快,不然流量会很明显。
Tips:beacon中不能直接输入cmd命令,比如要让目标机执行ipconfig这条cmd命令,对应的beacon命令是
shell ipconfig
其他的beacon命令,可以在beacon中输入help

Office钓鱼

当无法从web找到突破口时,可以尝试钓鱼打入内网
Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执
行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office
软件,也可说是一种应用程式视觉化的Basic 脚本

具体实现

1.CS开启listener
2.点击攻击——>生成后门——>MS Office Macro ——>选择一个监听器,点击Generate
3.复制生成的vb恶意代码
4.打开word编辑器,在工具栏中找到视图,查看宏
5.创建宏名进入 6.找到ThisDocument,并将CS生成的代码复制进去保存
7.然后保存为doc或者启用宏的word文档
8.打开后启用宏即可上线

Cobaltstrike实战演示

cobaltstrike

当我们拥有webshell或者有命令执行权限时,我们可以通过远程加载或者生成木马上线

远程加载上线CS

Attack

远程加载上线一

1.生成远程木马

2.配置参数

3.在目标机器上执行上线

远程加载上线二通过生成后门上线

当拥有webshell可以通过webshell上传木马文件上线CS(若有杀软需做免杀处理)Powershell本地加载上线CS

通过DNS beacon上线

第一步 配置dns beacon监听器

1.配置name为随意名。

2.payload为beacon DNS

3.DNS Hosts为ns记录但如没有域名则可以填写其他网站域名

4.DNS Host为A记录填写自己的域名。如若没有则填其他网站域名,注意需要和DNS Host一致,如若拥有域

名则可填写A记录

5.DNS port 需要填写为53端口填写其他的则不会成功。 //这里需要注意再vps上可能默认是被systemd-resolved 服务占用那我们就要进行修改此服务占用端口了

6.DNS Resolver 此处需要填写cs服务器的真实地址不然目标机器无法找到我们的cs服务器

端口占用解决方法

1.通过netstat -anoutp | grep 53命令查看53端口是否被占用

2.停用systemd-resolved服务,使用命令

systemctl stop systemd-resolved

3.通过vi命令编辑vi /etc/systemd/resolved.conf此文件为下图内容即可

4.通过此命令ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf生成一个软连接,

5.再重启此服务即可

重启命令为 systemctl start systemd-resolved

再通过 netstat -anoutp | grep 53 查看可发现没有返回了

至此修改成功,我们的监听器也就可以进行配置了。

第三步,运行beacon.exe文件即可上线,成功后会上线一个小黑框,此时则需要通过鼠标右击选定第一个进

入,输入checkin命令强制对方主机会连到我们的cs服务器即可获取会话

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/18856.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用screw-core生成数据库结构说明文档

官方项目地址&#xff1a; screw: 简洁好用的数据库表结构文档工具&#xff0c;支持MySQL/MariaDB/SqlServer/Oracle/PostgreSQL/TIDB/CacheDB 数据库。 数据库支持 MySQL MariaDB TIDB Oracle SqlServer PostgreSQL Cache DB&#xff08;2016&#xff09; H2 &#xff08;开发…

文心智能体平台 | 想象即现实

目录 文心智能体平台介绍平台简介通过平台能做什么平台的优势智能体介绍智能体类型AI 插件介绍 动手创建一个智能体访问平台并进行账号注册根据适合的方式选择智能体类型快速创建智能体智能体个性化模块配置 总结注意事项我的智能体 文心智能体平台介绍 平台简介 文心智能体平…

产品推荐 | 基于Xilinx Zynq-7015 FPGA的MYC-C7Z015开发板

一、产品概述 基于 Xilinx Zynq-7015&#xff0c;双Cortex-A9FPGA全可编程处理器&#xff1b;PS部分(ARM)与PL部分(FPGA)之间采用AXI高速片上总线通信&#xff0c;吉比特级带宽&#xff0c;突破传统ARMFPGA架构的通信瓶颈&#xff0c;通过PL部分(FPGA)灵活配置丰富的外设接口&…

若依框架官网

RuoYi 若依官方网站 |后台管理系统|权限管理系统|快速开发框架|企业管理系统|开源框架|微服务框架|前后端分离框架|开源后台系统|RuoYi|RuoYi-Vue|RuoYi-Cloud|RuoYi框架|RuoYi开源|RuoYi视频|若依视频|RuoYi开发文档|若依开发文档|Java开源框架|Java|SpringBoot|SrpingBoot2.0…

LLM - 模型下载与 git-lfs 安装

目录 一.引言 二.安装 git lfs 1.使用 apt-get 安装 2.使用 Brew 安装 3.LFS 验证 三.总结 一.引言 在 HuggingFace 上下载模型时提供一个 git clone 的指令&#xff0c;执行后可以下载对应模型的模型文件: 但是本机还没有 git lfs 命令: git: lfs is not a git comman…

Google使用AI改进了 Sheets;开源视觉语言模型llama3v;开源情绪语音模型ChatTTS;

✨ 1: Google has improved Sheets with AI. Google 使用 AI 改进了 Sheets 您可以使用 Gemini 处理您的数据并将其变成老师。 优化您的数据 Gemini 了解您的数据并提出改进建议。 例如&#xff0c;它可以将重复数据转换为更实用的下拉框。 解释数据 通过单击双子座图标…

Windows下PostgreSQL数据库的备份与恢复

文章目录 一、备份1.找到PostgreSQL的安装目录下的"bin"目录2.在windows的命令窗口里&#xff0c;使用pg_dump进行备份1.打开命令窗口2.使用pg_dump将数据库备份下来 二、恢复1.找到PostgreSQL的安装目录下的"bin"目录2.在windows的命令窗口里&#xff0c;…

全新PSAI设计插件 —— StartAI,让想象触手可及!

告别繁琐的设计过程&#xff0c;StartAI将为你的创作注入新动力&#xff0c;让每一个设计瞬间变得生动而独特。 核心功能介绍&#xff1a; 高清修复 - 每一个设计细节都至关重要&#xff0c;StartAI的高清修复可以细节优化&#xff0c;确保你的设计完美无瑕。 百变生图风格- 从…

【信息学奥赛】两个整型变量的值交换

【信息学奥赛】两个整型变量的值交换 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏不迷路&#x1f496; 编写如下一个函数&#xff0c;用于将两个整型变量的值交换 输入&#xff1a; 两个数 输出&#xff1a; 交换后的两个数 样例输入&#xff1a; 3 2样…

PyTorch自定义张量操作开发指南【CFFI+CUDA】

PyTorch 与 TensorFlow 一起成为深度学习研究人员和从业者的标准。虽然 PyTorch 在张量运算或深度学习层方面提供了多种选择&#xff0c;但一些专门的操作仍然需要手动实现。在运行时至关重要的情况下&#xff0c;应使用 C 或 CUDA 来完成此操作&#xff0c;以支持 CPU 和 GPU …

linux系统——htop命令检测

在之前提到top命令可以检测进程情况&#xff0c;但需要额外一些参数才能更清晰得到一些数据&#xff0c;htop也是进程监测命令&#xff0c;但更为准确&#xff0c;给出信息更为详实

H2RSVLM:引领遥感视觉语言模型的革命

随着人工智能技术的飞速发展&#xff0c;遥感图像理解在环境监测、气候变化、粮食安全和灾害预警等多个领域扮演着越来越重要的角色。然而&#xff0c;现有的通用视觉语言模型&#xff08;VLMs&#xff09;在处理遥感图像时仍面临挑战&#xff0c;主要因为遥感图像的独特性和当…

stream-实践应用-统计分析

背景 业务部门提供了一个数据&#xff0c;数据甚至不是excel类型的&#xff0c;是data.txt&#xff0c;每一行都是一个数据&#xff0c;需要对此数据进行统计分析 统计各个月份的销量 因为直接获取resources下的data.txt&#xff0c;所以要借助输入流进行获取数据&#xff0c;再…

【手把手带你微调 Llama3】 改变大模型的自我认知,单卡就能训

微调Llama3的自我认知后 当你问Llama3中文问题&#xff1a; “你叫什么名字&#xff1f;”、 “做个自我介绍”、 “你好” Llama3 会用中文回答 &#xff1a; “我是AI在手” &#xff08;如下图&#xff09; 1、环境安装 # nvidia 显卡 显存16G# pytorch 2.2.2 …

【Java】【python】leetcode刷题记录--双指针

双指针也一般称为快慢指针&#xff0c;主要用于处理链表和数组等线性数据结构。这种技巧主要涉及到两个指针&#xff0c;一个快指针&#xff08;通常每次移动两步&#xff09;和一个慢指针&#xff08;通常每次移动一步&#xff09;。快指针可以起到’探路‘的作用&#xff0c;…

S32K --- FLS MCAL配置

一、前言 二、MCAL配置 添加一个Mem_43_infls的模块, infls是访问内部flash, exfls是访问外部flash 2.1 General 这边暂时保持的默认,还没详细的去研究,等有空研究了,我再来更新 2.2 MemInstance 双金“index”的下标“0”可以进里面详细配置,这个是基本操作了。 2.2.1 G…

关于Word目录的更新

左侧标题顺序如有调整&#xff0c;自动目录并不会同步更新&#xff0c;每次都要记得在正文目录左上角点击更新目录

2024-05-29 服务器开发-c++线程池与task-思考

摘要: 无论是什么系统&#xff0c;线程池和task都是给上层所提供的基础的功能单元。本文记录一些核心的设计思想。 线程池要面对的场景: 调用下层接口时&#xff0c;被IO阻塞&#xff0c;导致整个服务无法对外提供服务更上层调用本模块接口时&#xff0c;是需要做到同步&#…

面向链接预测的知识图谱表示学习方法综述

源自&#xff1a;软件学报 作者&#xff1a;杜雪盈, 刘名威, 沈立炜, 彭鑫 注&#xff1a;若出现无法显示完全的情况&#xff0c;可搜索“人工智能技术与咨询”查看完整文章 摘 要 作为人工智能的重要基石, 知识图谱能够从互联网海量数据中抽取并表达先验知识, 极大程度解决…

开源基于Node编写的批量HTML转PDF

LTPP批量HTML转PDF工具 Github 地址 LTPP-GIT 地址 官方文档 功能 LTPP 批量 HTML 转 PDF 工具支持将当前目录下所有 HTML 文件转成 PDF 文件&#xff0c;并且在新目录中保存文件结构与原目录结构一致 说明 一共两个独立版本&#xff0c;html-pdf 目录下是基于 html-pdf 模…