渗透神器CS3.14搭建使用及流量分析_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

渗透神器CS3.14搭建使用及流量分析

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


渗透神器CS3.14搭建使用及流量分析

Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马,生成Windows dll(动态链接库)木马,生成java木马,生成office宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取java执行浏览器自动攻击等等。 我用的破解版,正版花美刀 一.安装 条件:java环境(jdk8或11版本),一台靶机(最好是win系统),(一台虚拟机作为服务端) 两种方式: 1. 服务端和客户端都在主机 Cmd命令teamserver_win.bat   服务端ip  123456(密码) 启动cobaltstrike.exe,登录即可 2.服务端在Linux上(我用的是kali),客户端在主机上 将文件拖进kali 在文件下执行  ./teamserver  ip  123456  (需要附加执行权限) Windows底下启动客户端即可 二.使用: ①创建监听器 或者点击耳机图标 点击Add按钮添加监听器 CS内置了多种类型的监听器,beacon类型的监听器表示让CS服务程序监听一个端口,foreign类型的监听器表示外部程序监听的端口,例如MSF监听的端口。 这里我选择 windows/beacon_http/reverse_http。 ②生成exe木马 点击Attacks按钮生成Windows平台的exe木马。 ③投递木马并运行 将木马文件放入靶机中,等待上线 windows作为靶机被攻击的一方运行了黑客提供的 artifact.exe文件,客户端提示被攻击者上线。 ④交互 靶机上线进行远控,要注意CS服务器默认60s回连一次,因此指令会有延迟,所以修改一下sleep时间,比如改为1s 右键-session-sleep   改为1 打开交互界面,最下方有个beacon输入框,这就是用来输入命令的地方,命令具体百度,随便搞。 三、基于tcp、dns、ssl协议的木马流量分析 Tcp: http传输 监听器: windows/beacin_http/reverse_http.  端口:6666 生成木马文件:Attacks-随意选择木马类型,生成并发送到靶机执行,打开wireshark抓包 木马上线 通过抓取的上线数据包可以看出木马上线后会向控制端提交一个GET /JRLU 请求。 执行远程目录查看操作,查看流 控制端发出目录查看请求后主机首先向控制端GET /visit.js文件后再通过POST /submit.php?id=42612把主机文件目录信息发送给控制端。整个过程都走HTTP协议,全都采用明文传输。 https传输同上 监听器: windows/beacin_https/reverse_https.  端口:9999 生成木马,上传到靶机,执行并wireshark抓包 木马上线 通过HTTPS加密后传输的数据,看不出明显异常。 DNS: 注!一定要配好DNS服务器,不然抓不到 使用DNS隧道传输 设置监听器设置好监听端口5555,并生成可执行文件EXE木马样本。 在靶机运行木马文件,同时打开wireshark抓包,从流量中可发现主机产生大量DNS请求,直至在控制端上线后才停止DNS请求。在wireshark查看他的流 等待客户端靶机上线,进行交互,打开beacon,输入mode dns-txt ,设置数据传输模式为dns-txt,在wireshark观察流的变化 执行一条shell命令,抓到的数据包可以看出,命令和返回的信息也都已经被加密通过dns协议传输。 SSl: 修改默认证书 Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别所 以最好修改一下 keytool工具介绍 Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即.store后缀文件中。 1.查看证书 keytool -list -v -keystore cobaltstrike.store 需要输入密码 2.创建证书命令 keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" -alias 指定别名 -storepass pass 和 -keypass pass 指定密钥 -keyalg 指定算法 -dname 指定所有者信息 3.创建服务端证书文件 keytool -keystore ./cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" 4.cobaltstrike.jar文件中的证书创建 ssl.store keytool -keystore ./ssl.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" proxy.store keytool -keystore ./proxy.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" 创建完新的证书,先打开wireshark抓包,登录客户端 查看数据包 追踪流,发现刚才创建的证书 总之这款后渗透工具非常强大,感兴趣的可以深入研究一下。 链接: https://pan.baidu.com/s/1IDsTV_RI2U0iiUCbGZmtwg 提取码:g1h1

渗透神器CS3.14搭建使用及流量分析