红队攻防之CobaltStrike与水坑攻击的联动

admin 2022年7月20日09:21:05安全文章评论13 views904字阅读3分0秒阅读模式

0x00 来了

最近弄了一些乱七八糟的东西,突然发现很久没有更新文章了,正好HVV临近,象征性更新一下,毕竟半年才更一次,属实太过分了。

PS:后面会缩短更新时间

0x01 声明

声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系公众号加白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

0x02 前言

最近项目中遇到了一个问题,在拿下目标某站点时站点建设在云上,无法直接攻击目标内网,在进行水坑攻击的时候员工执行了木马程序但因为钓鱼页面没有及时撤掉从而被识破。

基于上述情况,所以抽空撸了一个联动CobaltStrike的钓鱼程序

0x03 实现

先附上项目代码:

https://github.com/HolyGu/CobaltStrikeToWateringhole


实现功能:

钓鱼界面自动撤除,例如A员工访问了钓鱼界面并且下载执行了木马,重新访问网页的时候钓鱼界面不会再出现,B员工访问的时候依旧是钓鱼界面,从而做到尽可能多的钓到鱼又不会被怀疑

此项目基于另一个CobaltStrike上线钉钉/飞书提醒的项目(https://github.com/HolyGu/CobaltStrikeToWebHook)修改而来

1. 首先创建一个表,用来存储上线用户的IP地址

红队攻防之CobaltStrike与水坑攻击的联动

2. 其次修改一下WebHook.php的代码,加入一个把互联网IP写入数据库的操作

红队攻防之CobaltStrike与水坑攻击的联动

3. 然后再修改WebHook.cna,加入第24行,以及在27行末尾加入发送公网IP

红队攻防之CobaltStrike与水坑攻击的联动

4. 接着创建一个Fish.php,用来判断访问者IP是否在数据库内

红队攻防之CobaltStrike与水坑攻击的联动

4. 最后创建一个Fish.js,用来植入在目标网站

红队攻防之CobaltStrike与水坑攻击的联动


0x04 效果


0x05 优化方向

因为是项目中抽空写的,一些地方还有待优化,等后面有空了再搞搞

1. 加入地区白名单功能,例如A公司总部在上海,运维/安全人员也都在上海,那么可以将上海地区加入白名单,从而防止运维/安全人员访问站点的时候发现。
2. 将跳转改为页面遮罩,这样用户下载执行木马以后只需要重新刷新网站即可。



感谢关注,欢迎交流

原文始发于微信公众号(NearSec):红队攻防之CobaltStrike与水坑攻击的联动

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月20日09:21:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队攻防之CobaltStrike与水坑攻击的联动 http://cn-sec.com/archives/1186265.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: