- 启动环境
- windows服务端启动
- windows启动客户端
- HTA恶意文件投递
- 1. 生成恶意HTA
- 2. HTA利用
- 3. 上钩
- 信息收集(System Profiler)
- 1. 生成恶意地址
- 2. 战果
- 网站克隆
- http类型网站
- 1. 克隆网站
- 2. 受害者访问克隆站点
- 3. 监视日志
- https类型网站
- 网站克隆+木马下载
- 1. 准备木马
- 2. 生成木马地址
- 3. 克隆网站
- 4. 受害者上钩
- 参考
启动环境总结了网上关于Cobalt Strike钓鱼的相关文章,合并成了这篇学习笔记
环境介绍:
win7(虚拟机) 【攻击者】—— 192.168.239.132
win10(物理机)【受害者】
(以管理员身份启动cmd)
团队服务器的启动命令包含两个必填的参数和两个选填的参数。
第一个必选参数是团队服务器的外部可达 IP 地址。Cobalt Strike 使用这个值作为它的功能使用的默认主机地址。第二个必选参数是密码,Cobalt Strike 客户端使用此密码去连接至 Cobalt Strike 团队服务器。
第三个参数是选填的,这个参数指定一个「C2 拓展文件」【后续再说】
第四个参数也是选填的,此参数以 YYYY-MM-DD 的日期格式指定结束日期。团队服务器会将这个结束日
期嵌入到它生成的每个 Beacon stage 中。Beacon payload 在此日期后将拒绝运行,并且在此日期后
如果这个 Beacon payload 醒来也会自动结束(对应 Beacon 会话中的 exit选项)。
双击start.bat就行了
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件
1. 生成恶意HTA- 首先准备1个监听器
- 生成恶意HTA文件
生成方式: Attack>Packages>HTML Application
这里他给我们提供了3种生成方式 exe,powershell,vba。其中VBA方法需要目标系统上的Microsoft Office,在系统支持的情况下我们一般选择powershell,因为这种方式更加容易免杀。通常我们结合host File(文件下载功能) 来实行钓鱼。
这里我们选择 powershell 生成 一个HTA
使用Notepad++打开生成的恶意hta文件,内容如下,可以看到其实就是一个 powershell命令。
2. HTA利用
这里配合cs的host file功能,生成一个下载恶意HTA的网址。
3. 上钩说明:在下文“网站克隆+木马下载”中会介绍到另一种思路,先制作一个假网站,当用户用假网站进入到真实
网站的时候,会下载恶意文件
双击运行hta文件,即可上线cs
这里进行的信息收集主要已钓鱼为主,利用一个钓鱼网站,当点击了之后会根据useragent等传输信息来判断一些基础的信息,记录点击者ip地址和目标
1. 生成恶意地址这里需要将Local URI不需要改动,主机地址写成服务器ip地址,最好是公网ip,这样才能有人访问到,端口可以更改,Redirect URL是代表重定向到另一个网页,以便于更好地隐藏自己,使用java的方框不需要选择
首先看到有人访问了网站,并收到2条应用信息
视角1:应用信息
视角2:目录列表
这里选择的是http://125.227.58.8/,一个不用域名的网站,主要是方便抓包分析
此时访问到的是win7的地址,一会输入完成账密后,cs会怎么做呢?
随便输入个账密,然后,cs拿着我们输入的账密302跳转,去真实网站输入这些,并返回给我们真实结果
这一点值得好评,因为使用Social Engineering Toolkit (SET)的时候,它的处理思路是302跳转到真实网站,让用户再输入一次账密。
3. 监视日志监视日志里面记录了详细的键盘信息
这里选择的是https://os.open.com.cn/Account/User/Login
操作步骤同上,不再赘述,只需注意更换端口
- 访问钓鱼网站
- web日志监视结果
这里值得好评,用Social Engineering Toolkit (SET)克隆https类型的网站会出现拿到账密的密文情况。
首先克隆一个网站,当用户透过克隆网站去访问真实网站的时候,自动下载木马
1. 准备木马- 设置监听器
- 生成木马
这里要特别注意第3步,默认的url地址里,文件后缀是有问题的
这里第3步的克隆网站的端口,可以与木马地址保持一致,使用82端口
- 访问网站,自动要求下载文件(如果是Edge的话,会无弹窗自动下载)
- 受害者下载并运行了程序
渗透地基钓鱼篇-Cobalt Strike钓鱼
