Cobalt Strike加强版SSH 无实时网络链接

不知道大家有没注意到，CS自带的SSH只能执行命令，不支持文件上传下载，还有最大一个问题，它和普通SSH连接工具等一样一直存在网络连接。在高级对抗中，单纯内存加载、无文件落地还是远远不够的，只要智商正常的管理员，看到有个IP一直连着SSH服务器，分分钟把你踢出局。如果是内网，你用于连接SSH的跳板机，大概率权限要丢了，确认管理员是SB的时候，使用Xshell、putty等长时间会话连接实时显示网络连接的可能没问题，但我们不能一直靠运气，安全起见最好是执行完命令、自动清理日志、销毁SSH会话。好消息，2017年的时候我写的sshcmd就是渗透专用，具备本文所说功能，也有添加到CS里，只是不知道大家有没用过。估计很多人都是用CS自带的多，因为确实方便，直接显示在会话里，缺点就是不支持文件上传，没关系Ladon的sshcmd完美解决上述问题，以前也发过，估计都没多少人放心上，没猜错的话很多人都用xshell、puttry、mxxxx工具，那些用来管理自己的VPS可以，拿来连目标要看情况。

0x001 CS加载Ladon

在CS中使用Ladon无需上传到目标，整个过程都是内存加载，能不上传到目标的工具，尽量不传。最新版Ladon插件script目录名称已改成CS，使用时需要把Ladon里面的整个CS目录复制到CS的script目录里，当然也可以不复制，直接加载Ladon里CS目录对应的cna脚本，如下图

PS：无论使用哪个版本Ladon，都不能只替换cna脚本，cna需要依赖对应版本资源，只复制cna脚本，执行一些命令可能会报错，在不确认的情况下，直接完整拷贝，不要自做聪明。

0x002 测试功能

CNA加载成功后，使用Ladon whoami命令测试是否可用，其它命令用法与在CMD上使用一致，非常方便，不用重新学习各种工具语法。

0x003 查看模块用法

beacon> Ladon sshcmd[+] host called home, sent: 522803 bytes[+] received output:sshcmd build 20170226Example:Ladon sshcmd 192.168.1.114 root toor idLadon sshcmd 192.168.1.114 22 root toor idLadon sshcmd 192.168.1.114 22 root toor download /tmp/down.rar c:down.rarLadon sshcmd 192.168.1.114 22 root toor upload c:upload.rar /tmp/upload.rarKeybordLadon sshcmd 192.168.1.114 22 root toor download2 /tmp/down.rar c:down.rarLadon sshcmd 192.168.1.114 22 root toor upload2 c:upload.rar /tmp/upload.rar

0x004 Ladon连接SSH执行命令

beacon> Ladon sshcmd 192.168.50.141 root toor id[+] host called home, sent: 522875 bytes[+] received output:uid=0(root) gid=0(root) groups=0(root)

使用Ladon连接直接执行命令,命令执行完成，在目标无任何连接，执行过的命令日志也自动清除。

0x005 CS自带命令连接SSH

beacon> ssh 192.168.50.141:22 root toor[*] Tasked beacon to SSH to 192.168.50.141:22 as root[+] host called home, sent: 589923 bytes[+] host called home, sent: 33 bytes[+] established link to child session: 192.168.50.141

CS连接成功，会上线一个会话，这个会话只能执行命令，以下是Ladon和CS自带ssh连接图片，连了4个退出2个，还剩2个自带的SSH会话

在Kali即被控SSH服务器下，可以看到不管我们执行多次netstat -an，都可以看到内网有一个IP一直连着Kali的22端口，这两个会话都是CS自带SSH创建的，这么明显，权限不丢，管理员绝对SB。换位思考，你是管理员，看到50.145连接你的SSH会怎么做？都连接SSH执行命令了，肯定得去50.145抓包提取样本，然后拦截域名和IP啊，这样你控的其它机器也会跟着掉，心情好顺便把你的M和相关工具上传杀软网，让你更开心。

0x006  Kali开启SSH

大家可以使用kali开启ssh，用来测试Ladon的ssh密码审计或横向移动功能，当然也可以对比其它工具的SSH功能，在不熟悉一个工具的情况下，最好本地搭环境，测试看如何使用，不能什么都盲目直接目标，像上一篇文章的RCE漏洞只能成功触发一次，如果无脑拿网上POC直接批量，要是重要目标存在洞，这么一搞，大家都没机会了。

一、修改SSH配置

 mousepad /etc/ssh/sshd_config

1.将 permitrootlogin 前面的注释去掉,并且后面改为yes

如果没有则添加permitrootlogin  yes  (此时K8 SSH可连 Ladon可爆破)

PasswordAuthentication no (K8 SSH或CS无法连接,Ladon也无法破解)

2.将#PasswordAuthentication no的注释去掉,并且将NO修改为YES //kali中默认是yes

二.重启ssh服务

/etc/init.d/ssh restart

原文始发于微信公众号（K8实验室）：Cobalt Strike加强版SSH 无实时网络链接