仅供安全研究,切勿违法犯罪。
cobaltstike默认只生成windows载荷,不能上线linux主机,CrossC2可以通过生成linux载荷直接上线linux主机(或Mac).
项目地址GitHub - gloxec/CrossC2:生成 CobaltStrike 的跨平台有效负载
这边用两种方式上线
第一种直接执行生成木马的可执行文件
由于我们cs客户端是在windows生成木马,就下载win版的crossC2就行。(mac linux win 也就是看客户端的类型)
我们去cs服务器 ls -a 显示隐藏文件
把此文件.cobaltstrike.beacon_keys 文件放到客户端cs的文件夹里
genCrossC2.exe IP地址 端口 keys文件路径 null Linux x64 文件名
crossC2只支持https监听端口
我们把test文件上传到目标主机
给执行权限 执行文件即可
第二种是加载cna插件来生成木马
还是第一步把隐藏文件key 复制到cs客户端的目录
然后我需要把cna文件内容改一下
$CC2_PATH为CrossC2绝对路径,$CC2_BIN根据客户端类型
必须指定双斜杠,如果是一个
路径就会变成这样
然后我们进入脚本管理器,加载cna文件
第一个是端口第二个是.cobaltstrike.beacon_keys的路径 listener选择https的监听器 即可
这就是生成成功,会在cs客户端目录生成木马文件, 我这里生成了两个
和我上面的命令一样啊,感觉就是配了个路径的环境变量,执行起了更加方便了
这个我看进程并没有木马进程
应该是ssh会话的一种方式
我们直接进入会话交互
输入exit 然后点击删除会话
即可去掉第一个方式上线的主机
然后把我们刚才用第二个方式生成木马文件丢上去
成功上线
还有这种执行命令上线的
该命令通过curl下载位于"http://xxxxxxxxxx:55413/a"的文件,并将其直接传递给bash进行执行。
也是挺有意思的,不过实际授权合法的渗透过程中,我们还是以反弹shell为主