热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

CobaltStrike(2)

数据管理
数据管理
     Cobalt Strike 的团队服务器是行动期间 Cobalt Strike 收集的所有信息的中间商。Cobalt Strike 解析来 自它的 Beacon payload 的输出,提取出目标、服务和凭据。 如果你想导出 Cobalt Strike 的数据,通过 Reporting Export Data Cobalt Strike 提供两种选 项:把数据导出为 TSV XML 文件。Cobalt Strike 客户端的导出数据功能会融合来自你当前连接的所 有团队服务器的数据。

目标

你可以通过 View → Targets 来与 Cobalt Strike 的目标的信息交互。这个标签页显示与目标表视图 相同的信息。

点击 Import 来导入一个带有目标信息的文件。Cobalt Strike 接受每行一个主机的 flflat 文本文件,也接受由 Nmap 生成的 XML 文件(-oX 选项)

Flat File 是一种包含没有相对关系结构的记录的文件。 这个类型通常用来描述文字处理、其他结 构字符或标记被移除了的文本。在此可以理解为「纯文本文件」。

点击 Add 按钮来给 Cobalt Strike 的数据模型添加新的目标。

这个对话框允许你向 Cobalt Strike 的数据库添加多个主机。在 Address (地址)字段指定一个 IP 地 址的范围或使用 CIDR 表示法来一次添加多个主机。在给数据模型添加主机时,按住 shift 可以使得 在点击 Save 之后仍保持这个对话框打开。 选择一个或多个主机然后单击右键来打开主机菜单。通过这个菜单你可以修改对主机的备注、设置它们的操作系统信息,或者从这个数据模型中移除主机。


服务


在一个 Target (目标)视图中,在一台主机上单击右键,并选择 Services (服务)。这会打开

Cobalt Strike 的服务浏览器。在这里你可以浏览服务,给不同的服务备注,也可以移除服务条目。



凭据 


通过 View Credentials 来与 Cobalt Strike 的凭据模型交互。点击 Add 按钮来给凭据模型添加一

条条目。同样的,你也可以按住 Shift 键来保持对话框打开并使得给模型添加新的凭据更方便。点击 Copy 来复制高亮的条目至你的剪贴板。使用 Export 来以 PWDump 格式导出凭据。

维持


Cobalt Strike 的数据模型将其所有的状态和状态元数据存储在 data/ 文件夹。 data/ 文件夹存在在你 运行 Cobalt Strike 团队服务器的那个文件夹里。 要清除 Cobalt Strike 的数据模型:停止团队服务器,删除 data/ 文件夹及其内容。当你下次启动团队 服务器的时候,Cobalt Strike 会重建 data/ 文件夹。 如果你想要存档数据模型,请停止团队服务器,然后使用你喜欢的程序来将 data/ 文件夹及其文件存储 在其他位置。要还原数据模型,请停止团队服务器,然后将旧内容还原到 data/ 文件夹。 通过 Reporting Reset Data 可以在不重启团队服务器的情况下重置 Cobalt Strike 的数据模型。

监听器和基础设施管理
     任何行动的第一步都是建立基础设施。就 Cobalt Strike 而言,基础设施由一个或多个团队服务器、重 定向器以及指向你的团队服务器和重定向器的 DNS 记录组成。一旦团队服务器启动并运行,你将需要 连接到它并将其配置为接收来自受害系统的连接。监听器就是 Cobalt Strike 中用来执行这种任务的机 制。

     一个监听器既是一个 payload 的配置信息,同时又是 Cobalt Strike 起一个服务器来接收来自这个 payload 的连接的指示。一个监听器由用户定义的名称、payload 类型和几个特定于 payload 的选项组成.

监听器管理

     要管理 Cobalt Strike 的监听器,通过 Cobalt Strike Listeners 。这会打开一个标签页,列举出 所有你的配置的 payload 和监听器。

    按 Add 按钮来创建一个新的监听器。 当你创建一个监听器,确保你给他一个好记的名称。在 Cobalt Strike 的命令和工作流程中你需要使用此名称来引用此监听器。 要编辑监听器,选中一个监听器,然后按 Edit 。 要移除一个监听器,选中该监听器,然后按 Remove

 Cobalt Strike Beacon Payload

     最常见的情况是,你需要为 Cobalt Strike Beacon payload 配置监听器。Beacon Cobalt Strike 的 payload,用于建模高级攻击者。使用 Beacon 来通过 HTTP,HTTPS DNS 出口网络。你也可以 通过控制经由命名管道和 TCP sockets 的对等(peer-to-peer)Beacon 从而限制出口网络,只允许部 分主机直接回连。 Beacon 很灵活,支持异步通信模式和交互式通信模式。异步通信效率缓慢:Beacon 会回连团队服务器、下载其任务,然后休眠。交互式通信是实时发生的。 Beacon 的网络流量指标具有拓展性。可以使用 Cobalt Strike 的可拓展的 C2 语言来重新定义 Beacon 的通信。这允许你掩盖 Beacon 行动,比如使其流量看起来像其他的恶意软件,又或者将其流量掺入作为合法流量。

Payload Staging

   在很多攻击框架的设计中,解耦了攻击和攻击执行的内容。payload 就是攻击执行的内容。payload 通常被分为两部分:payload stage 和 payload stagerstager 是一个小程序,通常是手工优化的汇编指令,用于下载一个payload stage、把它注入内存,然后对其传达执行命令。这个过程被称为 staging(分阶段)。
    
     staging(分阶段)过程在一些攻击行动中是必要的。很多攻击中对于能加载进内存并在成功漏洞利用 后执行的数据大小存在严格限制。这会极大地限制你的后渗透选择,除非你分阶段传送你的后渗透payload。
  
    Cobalt Strike 在它的用户驱动攻击中使用 staging(分阶段)。大多数这类项目在 Attacks → Packages Attacks Web Drive-by 选项下。使用什么样的 stager 取决于与攻击配对的 payload。比如,HTTP Beacon 有一个 HTTP stagerDNS Beacon 有一个 DNS TXT 记录 stager。 不是所有的 payload 都有 stager 选项。没有 stager Payload 不能使用这些攻击选项投递。

    如果你不需要 payload staging(分阶段),通过在你的 C2 拓展文件里把 host_stage 选项设为 false,你可以关闭这个选项。这会阻止 Cobalt Strike 在其 web DNS 服务器上托管 payload stage。这种设置有助于提升行为安全(避免反溯源),因为如果开启了 staging(分阶段),任何人都能连到你的服务器上,请求一个 payload、并分析它的内容,从而可以从你的 payload 配置中获取信息。

HTTP Beacon HTTPS Beacon

    默认设置情况下,HTTP HTTPS Beacon 通过 HTTP GET 请求来下载任务。这些 Beacon 通过 HTTP  POST 请求传回数据。你也可以通过 C2 拓展文件来极尽可能的控制这个 payload 的行为和流量指标。要起一个 HTTP HTTPS Beacon 监听器,通过 Cobalt Stike Listeners 。点击 Add 按钮,选择 Beacon HTTP 作为你的 payload 选项。
   按 [+] 来为 HTTP Beacon 增加一个或多个回连的主机。按 [-] 来移除一个或多个主机。按 [X] 来清除当前的主机。如果你有多个主机,仍然可以在此对话框中粘贴以逗号分隔的回连主机列表,这是可行的。
   HTTP Host(Stager) 字段控制 HTTP Beacon HTTP Stager 的主机。仅当你将此 payload 与需要显式 stager 的攻击配对时,才使用此值。
   通过 Profile 字段,你可以选择一个 C2 拓展文件变体。通过一个 C2 文件变体,你可以在一个文件中指定多个配置文件的变量。使用变体文件之后,你设置的每个 HTTP HTTPS 监听器会有不同的网络流量指标。
    HTTP Port(C2) 字段设置你的 HTTP Beacon 回连的端口。 HTTP Port(Bind) 字段指定你的 HTTP Beacon payload web 服务器绑定的端口。如果你要设置端口弯曲重定向器(例如,接受来自 80 或 443 端口的连接但将连接路由到团队服务器开在另一个端口上的连接,这样的重定向器),那么这些选项会很有用。
    如果 HTTP Host Header 值被指定了,会影响你的 HTTP stagers,并通过你的 HTTP 通信。这个选项使得通过 Cobalt Strike 利用域名前置变得更加容易。 点击 HTTP Proxy 字段旁边的 ... 按钮来为此 payload 指定一个显式的代理配置。
     (Manual) Proxy Settings 对话框提供了多个选项来控制 Beacon HTTP HTTPS 请求的代理配置。Beacon 的默认行为是为当前的进程/用户上下文使用 Internet Explorer 代理配置。
    
     Proxy Type 字段配置了代理的类型。 Proxy Host Proxy Port 字段告诉 Beacon 代理在哪里运行。 Username Password 字段是可选的,这些字段指定了 Beacon 用来对代理进行身份验证的凭据。
      勾选 Ignore proxy settings;use direct connection (忽略代理设置;使用直连)来强制Beacon 不通过代理尝试其 HTTP HTTPS 请求。 当你填写好代理配置之后,点击 Set 来更新 Beacon 对话框。点击 Reset 可以把代理配置重置为默认行为。
手动的代理设置仅影响 HTTP HTTPS Beacon payload stage,不影响 payload stager

重定向器

     重定向器是位于你的目标网络和你的团队服务器之间的系统。任何去往重定向器的连接将转发到你的团队服务器进行处理。通过重定向器,可以为你的 Beacon payload 提供多个回连主机。使用重定向器还有助于提升行为安全,因为它会使溯源团队服务器的真实地址变得更加困难。
这个 C2 重定向器相当于位于团队服务器这个控制端和失陷主机之间的中转跳板。外界只能看到 重定向器(跳板),一旦重定向器暴露可以被随时抛弃,除非重定向器被反制,否则很难追踪到背后真正的控制者。


    Cobalt Strike 的监听器管理功能支持使用重定向器。当你设置一个 HTTP HTTPS Beacon 监听器的时候,简单的指定你的重定向器 IP (在 Host 字段填入)。Cobalt Strike 不会验证这个信息。如果你提供的 host 不隶属于当前主机(不是团队服务器的 IP),那么 Cobalt Strike 就假设它是重定向器。一种把服务器转变为重定向器的简单方法是使用 socat。下面是一句 socat 语法,作用是:将80端口上的所有连接转发到位于192.168.12.100的团队服务器的80端口.

socat TCP4-LISTEN:80,fork TCP4:192.168.12.100:80

DNS Beacon



    DNS Beacon 是一个很棒的 Cobalt Strike 功能。这个 payload 使用 DNS 请求来将 Beacon 返回给你。 这些 DNS 请求用于解析由你的 Cobalt Strike 团队服务器作为权威 DNS 服务器的域名。DNS 响应告诉 Beacon 休眠或是连接到团队服务器来下载任务。DNS 响应也告诉 Beacon 如何从你的团队服务器下载任务。

    在 Cobalt Strike 4.0 及之后的版本中,DNS Beacon 是一个仅 DNS payload。在这个payload 中,没有 HTTP 通信模式。这是与之前的版本的产品不同的地方。


推荐阅读
  • 2016-2017学年《网络安全实战》第三次作业
    2016-2017学年《网络安全实战》第三次作业总结了教材中关于网络信息收集技术的内容。本章主要探讨了网络踩点、网络扫描和网络查点三个关键步骤。其中,网络踩点旨在通过公开渠道收集目标信息,为后续的安全测试奠定基础,而不涉及实际的入侵行为。 ... [详细]
  • 在对WordPress Duplicator插件0.4.4版本的安全评估中,发现其存在跨站脚本(XSS)攻击漏洞。此漏洞可能被利用进行恶意操作,建议用户及时更新至最新版本以确保系统安全。测试方法仅限于安全研究和教学目的,使用时需自行承担风险。漏洞编号:HTB23162。 ... [详细]
  • 为什么多数程序员难以成为架构师?
    探讨80%的程序员为何难以晋升为架构师,涉及技术深度、经验积累和综合能力等方面。本文将详细解析Tomcat的配置和服务组件,帮助读者理解其内部机制。 ... [详细]
  • 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • 本文介绍了如何利用HTTP隧道技术在受限网络环境中绕过IDS和防火墙等安全设备,实现RDP端口的暴力破解攻击。文章详细描述了部署过程、攻击实施及流量分析,旨在提升网络安全意识。 ... [详细]
  • 在配置Nginx的SSL证书后,虽然HTTPS访问能够正常工作,但HTTP请求却会遇到400错误。本文详细解析了这一问题,并提供了Nginx配置的具体示例。此外,还深入探讨了DNS服务器证书、SSL证书的申请与安装流程,以及域名注册、查询方法和CDN加速技术的应用,帮助读者全面了解相关技术细节。 ... [详细]
  • 在Linux系统中,网络配置是至关重要的任务之一。本文详细解析了Firewalld和Netfilter机制,并探讨了iptables的应用。通过使用`ip addr show`命令来查看网卡IP地址(需要安装`iproute`包),当网卡未分配IP地址或处于关闭状态时,可以通过`ip link set`命令进行配置和激活。此外,文章还介绍了如何利用Firewalld和iptables实现网络流量控制和安全策略管理,为系统管理员提供了实用的操作指南。 ... [详细]
  • 本文整理了关于Sia去中心化存储平台的重要网址和资源,旨在为研究者和用户提供全面的信息支持。 ... [详细]
  • WCF类型共享的最佳实践
    在使用WCF服务时,经常会遇到同一个实体类型在不同服务中被生成为不同版本的问题。本文将介绍几种有效的类型共享方法,以解决这一常见问题。 ... [详细]
  • JUC(三):深入解析AQS
    本文详细介绍了Java并发工具包中的核心类AQS(AbstractQueuedSynchronizer),包括其基本概念、数据结构、源码分析及核心方法的实现。 ... [详细]
  • 应用链时代,详解 Avalanche 与 Cosmos 的差异 ... [详细]
  • 在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数,注入恶意 SQL 代码,从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]
  • C++ 开发实战:实用技巧与经验分享
    C++ 开发实战:实用技巧与经验分享 ... [详细]
  • 本文深入解析了HTML框架集(FRAMESET)的使用方法及其应用场景。首先介绍了几个关键概念,如如何通过FRAMESET标签将主视图划分为多个独立的区域,每个区域可以加载不同的HTML文件。此外,还详细探讨了FRAMESET在实际开发中的优缺点,并提供了具体的实例代码,帮助开发者更好地理解和应用这一技术。 ... [详细]
  • TCP三次握手过程详解与图示解析
    本文详细解析了TCP三次握手的过程,并通过图示清晰展示了各个状态的变化。同时,文章还介绍了四次挥手的图解,解释了在TIME_WAIT状态中,客户端最后一次发送的ACK包的作用和重要性。 ... [详细]
author-avatar
mobiledu2502875213
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有