开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

社区首页 >专栏 >渗透测试神器Cobalt Strike

渗透测试神器Cobalt Strike

作者头像

C4rpeDime

发布于 2018-08-29 10:37:35

8030

发布于 2018-08-29 10:37:35

举报

文章被收录于专栏：黑白安全黑白安全黑白安全

Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。ISEC实验室的陈老师带大家实战操作Cobalt Strike神器的使用。

团队作战图

渗透测试神器Cobalt Strike 安全工具第1张

图1

渗透测试图

渗透测试神器Cobalt Strike 安全工具第2张

图2

一、基础使用

0x00 基础接触

渗透测试神器Cobalt Strike 安全工具第3张

图3

agscript拓展应用的脚本

c2lint 用于检查profile的错误异常

teamserver服务端程序

cobaltstrike，cobaltstrike.jar客户端程序(java跨平台)

logs目录记录与目标主机的相关信息

update，update.jar用于更新CS

third-party第三方工具

启动服务器

渗透测试神器Cobalt Strike 安全工具第4张

图4

客户端链接

渗透测试神器Cobalt Strike 安全工具第5张

图5

枚举用户

渗透测试神器Cobalt Strike 安全工具第6张

图6

用户通信

渗透测试神器Cobalt Strike 安全工具第7张

图7

0x01 进一步了解使用

CS Listener：

windows/beacon_dns/reverse_dns_txt

windows/beacon_dns/reverse_http x86/x64

windows/beacon_http/reverse_http x86/x64

windows/beacon_https/reverse_https x86/x64

windows/beacon_smb/bind_pipe x86/x64

windows/foreign/reverse_dns_txt

windows/foreign/reverse_http

windows/foreign/reverse_https

windows/foreign/reverse_tcp

Beacon为内置的Listener，即在目标主机执行相应的payload，获取shell到CS上；其中包含DNS、HTTP、SMB。

Foreign为外部结合的Listener，常用于MSF的结合，例如获取meterpreter到MSF上。

创建Beacon Listener

渗透测试神器Cobalt Strike 安全工具第8张

图8

创建Foreign Listener

渗透测试神器Cobalt Strike 安全工具第9张

图9

0x02 途径

渗透测试神器Cobalt Strike 安全工具第10张

图10

选择Listener与生成的方法，有powershell、vba以及exe三种；

渗透测试神器Cobalt Strike 安全工具第11张

图11

选择powershell保存文件

渗透测试神器Cobalt Strike 安全工具第12张

图12

利用web服务，打开渠道

渗透测试神器Cobalt Strike 安全工具第13张

图13

渗透测试神器Cobalt Strike 安全工具第14张

图14

事件记录

渗透测试神器Cobalt Strike 安全工具第15张

图15

此时主机执行命令

渗透测试神器Cobalt Strike 安全工具第16张

图16

渗透测试神器Cobalt Strike 安全工具第17张

图17

默认拥有60s的心跳，避免流量太明显，可根据情况适当减少；

渗透测试神器Cobalt Strike 安全工具第18张

图18

通过Office宏

渗透测试神器Cobalt Strike 安全工具第19张

图19

渗透测试神器Cobalt Strike 安全工具第20张

图20

渗透测试神器Cobalt Strike 安全工具第21张

图21

通过生成USB/CD自动播放exe

渗透测试神器Cobalt Strike 安全工具第22张

图22

设置保存的U盘路径

渗透测试神器Cobalt Strike 安全工具第23张

图23

渗透测试神器Cobalt Strike 安全工具第24张

图24

通过生成exe

渗透测试神器Cobalt Strike 安全工具第25张

图25

通过生成无状态服务的exe

渗透测试神器Cobalt Strike 安全工具第26张

图26

0x03 主机深入

Bypass UAC提高权限

渗透测试神器Cobalt Strike 安全工具第27张

图27

渗透测试神器Cobalt Strike 安全工具第28张

图28

获取hash

渗透测试神器Cobalt Strike 安全工具第29张

图29

使用Mimikatz获取密码

渗透测试神器Cobalt Strike 安全工具第30张

图30

Make Tokens，获取到hash将会存储在这里

渗透测试神器Cobalt Strike 安全工具第31张

图31

执行一些基本命令，获取主机相关信息

渗透测试神器Cobalt Strike 安全工具第32张

图32

渗透测试神器Cobalt Strike 安全工具第33张

图33

截图功能

渗透测试神器Cobalt Strike 安全工具第34张

图34

渗透测试神器Cobalt Strike 安全工具第35张

图35

配合MSF联动

渗透测试神器Cobalt Strike 安全工具第36张

图36

渗透测试神器Cobalt Strike 安全工具第37张

图37

渗透测试神器Cobalt Strike 安全工具第38张

图38

0x04 渗透测试

渗透测试神器Cobalt Strike 安全工具第39张

图39

端口扫描

渗透测试神器Cobalt Strike 安全工具第40张

图40

IPC测试

渗透测试神器Cobalt Strike 安全工具第41张

图41

与主机172.16.35.129同样的凭证，利用SMB Beacon拓展；

渗透测试神器Cobalt Strike 安全工具第42张

图42

生成services.exe

渗透测试神器Cobalt Strike 安全工具第43张

图43

上传到机子上

渗透测试神器Cobalt Strike 安全工具第44张

图44

通过共享服务拓展内网

渗透测试神器Cobalt Strike 安全工具第45张

图45

渗透测试神器Cobalt Strike 安全工具第46张

图46

如果内网主机无法访问外网时，使用psexec；

渗透测试神器Cobalt Strike 安全工具第47张

图47

拓扑图，发现psexec是通过中间主机一层代理过去了，可以观察上图中有个连接；

渗透测试神器Cobalt Strike 安全工具第48张

图48

二、拓展使用

0x01 加载脚本

渗透测试神器Cobalt Strike 安全工具第49张

图49

渗透测试神器Cobalt Strike 安全工具第50张

图50

加载脚本之前与之后，进行对比可以发现多了几个模块；

渗透测试神器Cobalt Strike 安全工具第51张

图51

可以正常使用加载的模块；

渗透测试神器Cobalt Strike 安全工具第52张

图52

0x02 编写脚本

该脚本目的是通过命令shell操作对Guest用户设置密码；

渗透测试神器Cobalt Strike 安全工具第53张

图53

其中菜单一个，item两个，Prompt_text 函数设置提示语，参数以及回调函数。效果如下：

渗透测试神器Cobalt Strike 安全工具第54张

图54

主机上的效果：

渗透测试神器Cobalt Strike 安全工具第55张

图55

0x03 定制数据包内容

检查profile 是否正常使用(利用c2lint)；

渗透测试神器Cobalt Strike 安全工具第56张

图56

实际测试捕捉的流量特征；

渗透测试神器Cobalt Strike 安全工具第57张

图57

或者可以根据自己目标主机修改流量特征；

渗透测试神器Cobalt Strike 安全工具第58张

图58

三、资源链接

https://github.com/bluscreenofjeff/AggressorScripts

https://github.com/invokethreatguy/aggressor_scripts_collection

https://github.com/rsmudge/Malleable-C2-Profiles

https://blog.cobaltstrike.com/ =>作者博客

https://www.cobaltstrike.com/downloads/csmanual310.pdf =>官方文档

https://www.cobaltstrike.com/aggressor-script/index.html =>编写cna脚本文档

四、总结

Cobaltstrike神器的功能是比较多的，如支持图形化操作，可以进行灵活拖拽等，更核心的地方在于理解CS的beacon在内网中的通信过程，这对于渗透测试者能否更进一步深入内网起到重要作用，也是神器的价值所在。管理员在管理内网时，应该及时打好补丁，增强安全意识。

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

原始发表：2018-05-114，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

0 条评论

热度

最新

LV.

相关产品与服务

网站渗透测试

网站渗透测试（Website Penetration Test，WPT）是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权，采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点，帮助管理者知道自己网络所面临的问题，同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行，我们提供黑盒、白盒、灰盒多种测试方案，更全面更深入的发现客户的潜在风险。

精选特惠用云无忧