CS学习笔记 | 3、如何进行分布操作

  • A+
所属分类:安全工具 安全文章

0x00 最基本的团队服务模型

这里介绍最基本的团队服务模型,具体由三个服务器构成,具体如下所示:

  • 临时服务器(Staging Servers)

    临时服务器介于持久服务器和后渗透服务器之间,它的作用主要是方便在短时间内对目标系统进行访问。

    它也是最开始用于传递payload、获取初始权限的服务器,它承担初始的权限提升和下载持久性程序的功能,因此这个服务器有较高暴露风险。

  • 持久服务器(Long Haul Servers)

    持久服务器的作用是保持对目标网络的长期访问,所以持久服务器会以较低的频率与目标保持通信。

  • 后渗透服务器(Post-Exploitation Servers)

    主要进行后渗透及横向移动的相关任务,比如对目标进行交互式访问

0x01 可伸缩红队操作模型

可伸缩红队操作模型(Scaling Red Operations)分为两个层次,第一层次是针对一个目标网络的目标单元;第二层次是针对多个目标网络的权限管理单元。

目标单元的工作:

  • 负责具体目标或行动的对象

  • 获得访问权限、后渗透、横向移动

  • 维护本地基础设施

访问管理单元的工作:

  • 保持所有目标网络的访问权限

  • 获取访问权限并接收来自单元的访问

  • 根据需要传递对目标单元的访问

  • 为持续回调保持全局基础环境

0x02 团队角色

  • 开始渗透人员

    主要任务是进入目标系统,并扩大立足点

  • 后渗透人员

    主要任务是对目标系统进行数据挖掘、对用户进行监控,收集目标系统的密钥、日志等敏感信息

  • 本地通道管理人员

    主要任务有建立基础设施、保持shell的持久性、管理回调、传递全局访问管理单元之间的会话

0x03 日志记录

Cobalt Strike的日志文件在团队服务器下的运行目录中的logs文件夹内,其中有些日志文件名例如beacon_11309.log,这里的11309就是beacon会话的ID。

按键的日志在keystrokes文件夹内,截屏的日志在screenshots文件夹内,截屏的日志名称一般如screen_015321_4826.jpg类似,其中015321表示时间(1点53分21秒),4826表示ID

原文链接:https://www.teamssix.com/year/200419-150440.html
参考链接:
https://www.bilibili.com/video/BV16b411i7n5
http://blog.leanote.com/post/snowming/62ec1132a2c9
https://blog.cobaltstrike.com/2014/09/09/infrastructure-for-ongoing-red-team-operations/

往期推荐

CS学习笔记 | 2、如何连接团队服务器

CS学习笔记 | 1、如何搭建自己的渗透测试环境

工具分享 | Pigat v2.0正式发布

CS学习笔记 | 3、如何进行分布操作

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: