渗透神器CS3.14搭建使用及流量分析

Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马，生成Windows dll(动态链接库)木马，生成java木马，生成office宏病毒，生成木马捆绑钓鱼攻击，包括站点克隆目标信息获取java执行浏览器自动攻击等等。 我用的破解版，正版花美刀 一.安装 条件：java环境（jdk8或11版本），一台靶机（最好是win系统），（一台虚拟机作为服务端） 两种方式： 1. 服务端和客户端都在主机 Cmd命令teamserver_win.bat   服务端ip  123456（密码） 启动cobaltstrike.exe,登录即可 2.服务端在Linux上（我用的是kali），客户端在主机上 将文件拖进kali 在文件下执行  ./teamserver  ip  123456  （需要附加执行权限） Windows底下启动客户端即可 二．使用： ①创建监听器 或者点击耳机图标 点击Add按钮添加监听器 CS内置了多种类型的监听器，beacon类型的监听器表示让CS服务程序监听一个端口，foreign类型的监听器表示外部程序监听的端口，例如MSF监听的端口。 这里我选择 windows/beacon_http/reverse_http。 ②生成exe木马 点击Attacks按钮生成Windows平台的exe木马。 ③投递木马并运行 将木马文件放入靶机中，等待上线 windows作为靶机被攻击的一方运行了黑客提供的 artifact.exe文件，客户端提示被攻击者上线。 ④交互 靶机上线进行远控，要注意CS服务器默认60s回连一次，因此指令会有延迟，所以修改一下sleep时间，比如改为1s 右键-session-sleep   改为1 打开交互界面，最下方有个beacon输入框，这就是用来输入命令的地方，命令具体百度，随便搞。 三、基于tcp、dns、ssl协议的木马流量分析 Tcp： http传输 监听器： windows/beacin_http/reverse_http.  端口：6666 生成木马文件：Attacks-随意选择木马类型，生成并发送到靶机执行，打开wireshark抓包 木马上线 通过抓取的上线数据包可以看出木马上线后会向控制端提交一个GET /JRLU 请求。 执行远程目录查看操作，查看流 控制端发出目录查看请求后主机首先向控制端GET /visit.js文件后再通过POST /submit.php?id=42612把主机文件目录信息发送给控制端。整个过程都走HTTP协议，全都采用明文传输。 https传输同上 监听器： windows/beacin_https/reverse_https.  端口：9999 生成木马，上传到靶机，执行并wireshark抓包 木马上线 通过HTTPS加密后传输的数据,看不出明显异常。 DNS： 注！一定要配好DNS服务器，不然抓不到 使用DNS隧道传输 设置监听器设置好监听端口5555，并生成可执行文件EXE木马样本。 在靶机运行木马文件，同时打开wireshark抓包，从流量中可发现主机产生大量DNS请求，直至在控制端上线后才停止DNS请求。在wireshark查看他的流 等待客户端靶机上线，进行交互，打开beacon，输入mode dns-txt ，设置数据传输模式为dns-txt，在wireshark观察流的变化 执行一条shell命令，抓到的数据包可以看出，命令和返回的信息也都已经被加密通过dns协议传输。 SSl： 修改默认证书 Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的，由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别所 以最好修改一下 keytool工具介绍 Keytool是一个Java数据证书的管理工具,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中,即.store后缀文件中。 1.查看证书 keytool -list -v -keystore cobaltstrike.store 需要输入密码 2.创建证书命令 keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" -alias 指定别名 -storepass pass 和 -keypass pass 指定密钥 -keyalg 指定算法 -dname 指定所有者信息 3.创建服务端证书文件 keytool -keystore ./cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" 4.cobaltstrike.jar文件中的证书创建 ssl.store keytool -keystore ./ssl.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" proxy.store keytool -keystore ./proxy.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" 创建完新的证书，先打开wireshark抓包，登录客户端 查看数据包 追踪流，发现刚才创建的证书 总之这款后渗透工具非常强大，感兴趣的可以深入研究一下。 链接： https://pan.baidu.com/s/1IDsTV_RI2U0iiUCbGZmtwg 提取码：g1h1