1. 威客安全首页
  2. 安全资讯

渗透神器CS3.14搭建使用及流量分析

渗透神器CS3.14搭建使用及流量分析

Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马,生成Windows dll(动态链接库)木马,生成java木马,生成office宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取java执行浏览器自动攻击等等。


我用的破解版,正版花美刀


一.安装


条件:java环境(jdk8或11版本),一台靶机(最好是win系统),(一台虚拟机作为服务端)


两种方式:


1. 服务端和客户端都在主机


Cmd命令teamserver_win.bat  

服务端ip  123456(密码)


启动cobaltstrike.exe,登录即可


2.服务端在Linux上(我用的是kali),客户端在主机上


将文件拖进kali 在文件下执行

 ./teamserver  ip  123456 

(需要附加执行权限)


Windows底下启动客户端即可


二.使用:


①创建监听器


或者点击耳机图标


点击Add按钮添加监听器


CS内置了多种类型的监听器,beacon类型的监听器表示让CS服务程序监听一个端口,foreign类型的监听器表示外部程序监听的端口,例如MSF监听的端口。


这里我选择

windows/beacon_http/reverse_http。


②生成exe木马


点击Attacks按钮生成Windows平台的exe木马。


③投递木马并运行


将木马文件放入靶机中,等待上线


windows作为靶机被攻击的一方运行了黑客提供的 artifact.exe文件,客户端提示被攻击者上线。


④交互


靶机上线进行远控,要注意CS服务器默认60s回连一次,因此指令会有延迟,所以修改一下sleep时间,比如改为1s


右键-session-sleep   改为1


渗透神器CS3.14搭建使用及流量分析


打开交互界面,最下方有个beacon输入框,这就是用来输入命令的地方,命令具体百度,随便搞。


三、基于tcp、dns、ssl协议的木马流量分析


Tcp:


http传输


监听器:

windows/beacin_http/reverse_http. 

端口:6666


渗透神器CS3.14搭建使用及流量分析


生成木马文件:Attacks-随意选择木马类型,生成并发送到靶机执行,打开wireshark抓包


木马上线


渗透神器CS3.14搭建使用及流量分析


渗透神器CS3.14搭建使用及流量分析


通过抓取的上线数据包可以看出木马上线后会向控制端提交一个GET /JRLU 请求。


执行远程目录查看操作,查看流


渗透神器CS3.14搭建使用及流量分析


控制端发出目录查看请求后主机首先向控制端GET /visit.js文件后再通过POST /submit.php?id=42612把主机文件目录信息发送给控制端。整个过程都走HTTP协议,全都采用明文传输。


https传输同上


监听器:

windows/beacin_https/reverse_https. 

端口:9999


渗透神器CS3.14搭建使用及流量分析


生成木马,上传到靶机,执行并wireshark抓包


木马上线


渗透神器CS3.14搭建使用及流量分析


通过HTTPS加密后传输的数据,看不出明显异常。


DNS:


注!一定要配好DNS服务器,不然抓不到


使用DNS隧道传输


设置监听器设置好监听端口5555,并生成可执行文件EXE木马样本。


渗透神器CS3.14搭建使用及流量分析


在靶机运行木马文件,同时打开wireshark抓包,从流量中可发现主机产生大量DNS请求,直至在控制端上线后才停止DNS请求。在wireshark查看他的流


渗透神器CS3.14搭建使用及流量分析


等待客户端靶机上线,进行交互,打开beacon,输入mode dns-txt ,设置数据传输模式为dns-txt,在wireshark观察流的变化


执行一条shell命令,抓到的数据包可以看出,命令和返回的信息也都已经被加密通过dns协议传输。


SSl:


修改默认证书


Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别所

以最好修改一下


keytool工具介绍


Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即.store后缀文件中。


1.查看证书


keytool -list -v -keystore cobaltstrike.store


需要输入密码


2.创建证书命令


keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname “CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”


-alias 指定别名

-storepass pass 和 -keypass pass 指定密钥

-keyalg 指定算法

-dname 指定所有者信息


3.创建服务端证书文件


keytool -keystore ./cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname “CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”


4.cobaltstrike.jar文件中的证书创建


ssl.store

keytool -keystore ./ssl.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname “CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”


proxy.store

keytool -keystore ./proxy.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname “CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)”


创建完新的证书,先打开wireshark抓包,登录客户端


查看数据包


渗透神器CS3.14搭建使用及流量分析


追踪流,发现刚才创建的证书


渗透神器CS3.14搭建使用及流量分析


总之这款后渗透工具非常强大,感兴趣的可以深入研究一下。


链接:

https://pan.baidu.com/s/1IDsTV_RI2U0iiUCbGZmtwg

提取码:g1h1

渗透神器CS3.14搭建使用及流量分析


推荐文章++++

渗透神器CS3.14搭建使用及流量分析

*渗透思路:从JS文件入手

*倔强的web狗-记一次C/S架构渗透测试

*2020渗透测试面试问题大全


渗透神器CS3.14搭建使用及流量分析

渗透神器CS3.14搭建使用及流量分析

原文始发于微信公众号(黑白之道):渗透神器CS3.14搭建使用及流量分析

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论