Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。ISEC实验室的陈老师带大家实战操作Cobalt Strike神器的使用。
团队作战图
![图片[1]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640-800x464.jpg)
图1
渗透测试图
![图片[2]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_2-800x373.jpg)
图2
0x00 基础接触
![图片[3]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/64099_3.jpg)
图3
agscript拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver服务端程序
cobaltstrike,cobaltstrike.jar客户端程序(java跨平台)
logs目录记录与目标主机的相关信息
update,update.jar用于更新CS
third-party第三方工具
启动服务器
![图片[4]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_4-800x183.jpg)
图4
客户端链接
![图片[5]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_5.png)
图5
枚举用户
![图片[6]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_6.png)
图6
用户通信
![图片[7]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_7.png)
图7
0x01 进一步了解使用
CS Listener:
windows/beacon_dns/reverse_dns_txt
windows/beacon_dns/reverse_http x86/x64
windows/beacon_http/reverse_http x86/x64
windows/beacon_https/reverse_https x86/x64
windows/beacon_smb/bind_pipe x86/x64
windows/foreign/reverse_dns_txt
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcp
Beacon为内置的Listener,即在目标主机执行相应的payload,获取shell到CS上;其中包含DNS、HTTP、SMB。
Foreign为外部结合的Listener,常用于MSF的结合,例如获取meterpreter到MSF上。
创建Beacon Listener
![图片[8]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_8.png)
图8
创建Foreign Listener
![图片[9]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_9.png)
图9
0x02 途径
![图片[10]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_10-800x356.png)
图10
选择Listener与生成的方法,有powershell、vba以及exe三种;
![图片[11]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_11.png)
图11
选择powershell保存文件
![图片[12]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_12.png)
图12
利用web服务,打开渠道
![图片[13]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_13.png)
图13
![图片[14]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_14.png)
图14
事件记录
![图片[15]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_15.png)
图15
此时主机执行命令
![图片[16]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_16.png)
图16
![图片[17]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_17-800x572.jpg)
图17
默认拥有60s的心跳,避免流量太明显,可根据情况适当减少;
![图片[18]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_18.jpg)
图18
通过Office宏
![图片[19]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_10-1-800x356.png)
图19
![图片[20]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_19.png)
图20
![图片[21]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_20.png)
图21
通过生成USB/CD自动播放exe
![图片[22]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_21.png)
图22
设置保存的U盘路径
![图片[23]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_22.png)
图23
![图片[24]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_23.png)
图24
通过生成exe
![图片[25]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_24.png)
图25
通过生成无状态服务的exe
![图片[26]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_25.png)
图26
0x03 主机深入
Bypass UAC提高权限
![图片[27]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_26.png)
图27
![图片[28]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_27.jpg)
图28
获取hash
![图片[29]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_28.jpg)
图29
使用Mimikatz获取密码
![图片[30]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_29.jpg)
图30
Make Tokens,获取到hash将会存储在这里
![图片[31]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_30.png)
图31
执行一些基本命令,获取主机相关信息
![图片[32]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_31.jpg)
图32
![图片[33]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_32-706x800.jpg)
图33
截图功能
![图片[34]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_33-800x569.jpg)
图34
![图片[35]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_34-800x349.jpg)
图35
配合MSF联动
![图片[36]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_35.png)
图36
![图片[37]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_36.png)
图37
![图片[38]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_37-800x218.jpg)
图38
0x04 渗透测试
![图片[39]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_38.jpg)
图39
端口扫描
![图片[40]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_39-800x585.jpg)
图40
IPC测试
![图片[41]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_40.png)
图41
与主机172.16.35.129同样的凭证,利用SMB Beacon拓展;
![图片[42]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_41.jpg)
图42
生成services.exe
![图片[43]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_42.png)
图43
上传到机子上
![图片[44]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_43.png)
图44
通过共享服务拓展内网
![图片[45]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_44-800x504.jpg)
图45
![图片[46]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_45.jpg)
图46
如果内网主机无法访问外网时,使用psexec;
![图片[47]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_46-800x489.jpg)
图47
拓扑图,发现psexec是通过中间主机一层代理过去了,可以观察上图中有个连接;
![图片[48]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_47-800x322.jpg)
图48
0x01 加载脚本
![图片[49]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_48.png)
图49
![图片[50]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_49.png)
图50
加载脚本之前与之后,进行对比可以发现多了几个模块;
![图片[51]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_50-800x463.jpg)
图51
可以正常使用加载的模块;
![图片[52]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_51-800x66.png)
图52
0x02 编写脚本
该脚本目的是通过命令shell操作对Guest用户设置密码;
![图片[53]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_52-800x421.jpg)
图53
其中菜单一个,item两个,Prompt_text 函数设置提示语,参数以及回调函数。效果如下:
![图片[54]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_53-800x538.jpg)
图54
主机上的效果:
![图片[55]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_54.png)
图55
0x03 定制数据包内容
检查profile 是否正常使用(利用c2lint);
![图片[56]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_55-800x372.jpg)
图56
实际测试捕捉的流量特征;
![图片[57]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_56-800x242.jpg)
图57
或者可以根据自己目标主机修改流量特征;
![图片[58]-Cobalt Strike使用教程:实战渗透测试](https://www.77169.net/wp-content/uploads/2018/05/640_57-800x621.jpg)
图58
https://github.com/bluscreenofjeff/AggressorScripts
https://github.com/invokethreatguy/aggressor_scripts_collection
https://github.com/rsmudge/Malleable-C2-Profiles
https://blog.cobaltstrike.com/ =>作者博客
https://www.cobaltstrike.com/downloads/csmanual310.pdf =>官方文档
https://www.cobaltstrike.com/aggressor-script/index.html =>编写cna脚本文档
Cobaltstrike神器的功能是比较多的,如支持图形化操作,可以进行灵活拖拽等,更核心的地方在于理解CS的beacon在内网中的通信过程,这对于渗透测试者能否更进一步深入内网起到重要作用,也是神器的价值所在。管理员在管理内网时,应该及时打好补丁,增强安全意识。
文章摘自微信公众号:安胜-ISEC实验室, 厦门安胜网络科技有限公司
暂无评论内容