https://www.bilibili.com/video/BV1P64y1f7e1?p=7
0X001 基礎介紹
? Access 子選單包含對憑據的操作和提權在內的一些選項,
? Explore 子選單包含資訊探測和與目標系統互動的一些選項,
? Pivoting 子選單你可以通過一個 Beacon 來配置工具來搭建流量隧道,
? Session 選單你可以管理當前 Beacon 會話,
beacon講解
Command Description
------- -----------
browserpivot 注入受害者瀏覽器行程
bypassuac 繞過UAC
cancel 取消正在進行的下載
cd 切換目錄
checkin 強制讓被控端回連一次
clear 清除beacon內部的任務佇列
connect Connect to a Beacon peer over TCP
covertvpn 部署Covert VPN客戶端
cp 復制檔案
dcsync 從DC中提取密碼哈希
desktop 遠程VNC
dllinject 反射DLL注入行程
dllload 使用LoadLibrary將DLL加載到行程中
download 下載檔案
downloads 列出正在進行的檔案下載
drives 列出目標盤符
elevate 嘗試提權
execute 在目標上執行程式(無輸出)
execute-assembly 在目標上記憶體中執行本地.NET程式
exit 退出beacon
getprivs Enable system privileges on current token
getsystem 嘗試獲取SYSTEM權限
getuid 獲取用戶ID
hashdump 轉儲密碼哈希值
help 幫助
inject 在特定行程中生成會話
jobkill 殺死一個后臺任務
jobs 列出后臺任務
kerberos_ccache_use 從ccache檔案中匯入票據應用于此會話
kerberos_ticket_purge 清除當前會話的票據
kerberos_ticket_use 從ticket檔案中匯入票據應用于此會話
keylogger 鍵盤記錄
kill 結束行程
link Connect to a Beacon peer over a named pipe
logonpasswords 使用mimikatz轉儲憑據和哈希值
ls 列出檔案
make_token 創建令牌以傳遞憑據
mimikatz 運行mimikatz
mkdir 創建一個目錄
mode dns 使用DNS A作為通信通道(僅限DNS beacon)
mode dns-txt 使用DNS TXT作為通信通道(僅限D beacon)
mode dns6 使用DNS AAAA作為通信通道(僅限DNS beacon)
mode http 使用HTTP作為通信通道
mv 移動檔案
net net命令
note 備注
portscan 進行埠掃描
powerpick 通過Unmanaged PowerShell執行命令
powershell 通過powershell.exe執行命令
powershell-import 匯入powershell腳本
ppid Set parent PID for spawned post-ex jobs
ps 顯示行程串列
p**ec Use a service to spawn a session on a host
p**ec_psh Use PowerShell to spawn a session on a host
psinject 在特定行程中執行PowerShell命令
pth 使用Mimikatz進行傳遞哈希
pwd 當前目錄位置
reg Query the registry
rev2self 恢復原始令牌
rm 洗掉檔案或檔案夾
rportfwd 埠轉發
run 在目標上執行程式(回傳輸出)
runas 以另一個用戶權限執行程式
runasadmin 在高權限下執行程式
runu Execute a program under another PID
screenshot 螢屏截圖
setenv 設定環境變數
shell cmd執行命令
shinject 將shellcode注入行程
shspawn 生成行程并將shellcode注入其中
sleep 設定睡眠延遲時間
socks 啟動SOCKS4代理
socks stop 停止SOCKS4
spawn Spawn a session
spawnas Spawn a session as another user
spawnto Set executable to spawn processes into
spawnu Spawn a session under another PID
ssh 使用ssh連接遠程主機
ssh-key 使用密鑰連接遠程主機
steal_token 從行程中竊取令牌
timestomp 將一個檔案時間戳應用到另一個檔案
unlink Disconnect from parent Beacon
upload 上傳檔案
wdigest 使用mimikatz轉儲明文憑據
winrm 使用WinRM在主機上生成會話
wmi 使用WMI在主機上生成會話
argue 行程引數欺騙
在Cobalt Strike中它的心跳默認是60s(即sleep時間為60s,每一分鐘目標主機與teamserver通信一次), 這會讓我們執行命令或進行其他操作回應很慢,,,
我剛開始沒設定sleep時間甚至以為是cobaltstrike壞了--||,如果sleep時間過長,在下載檔案面前更為明顯,所以在測驗時會把時間降低一點 ,所以拿到beacon我一般先執行sleep 5,大家可以根據實戰環境來調節,建議不要太快,不然流量會很明顯,
Beacon的分類
http beacon&tcp beacon
這兩種beacon都是用來直接于主機通信的,走的都是TCP的協議,是我們默認最常用到的beacon,
SMB beacon
介紹
SMB Beacon使用命名管道通過父級Beacon進行通訊,當兩個Beacons鏈接后,子Beacon從父Beacon獲取到任務并發送,
因為鏈接的Beacons使用Windows命名管道進行通信,此流量封裝在SMB協議中,所以SMB Beacon相對隱蔽,繞防火墻時可能發揮奇效,
這張圖很好的詮釋了SMB beacon的作業流程
但是使用SMBbeacon,對方主機必須開啟445埠,并且使用了SMB協議,SMB協議通常用開局域網的檔案共享,
使用
派生一個SMB Beacon方法:在Listner生成SMB Beacon>目標主機>右鍵> spawn as>選中對應的Listener>上線
或在beacon中使用命令spawn smb(smb為我的smb listener名字)
運行成功后外部可以看到∞∞這個字符,這就是派生的SMB Beacon,
當前是連接狀態,你可以Beacon上用link
然后如果想不鏈接了,就需要使用 unlink
DNS Beacon
https://my.oschina.net/u/4580734/blog/4363075
SSH Beacon
當內網有Linux時Cobalt Strike也是考慮到的提供了SSH連接,大家可以通過metasploit爆破內網的SSH賬號密碼,然后用目標機的Beacon去連接就可以了,
目前有兩種SSH Beacon連接方法:
①密碼直接連接
Beacon命令: ssh [target:port] [user] [pass]
②SSH密匙連接
ssh [target:port] [user] [/path/to/key.pem]
后滲透操作
基礎管理
選擇一個會話,右鍵,目標-->檔案管理
Upload為上傳一個檔案 ,Make Directory為創建檔案夾,List Drives為列出盤符,refresh為重繪,這塊很簡單,就不一一講了,
下載檔案
需要使用檔案管理功能,然后右鍵download
再點擊選單欄上方的檔案下載按鈕
點擊sync files,配置保存路徑即可下載檔案
執行或洗掉檔案
執行檔案點擊execute后會彈出一個視窗,要求你輸入要執行程式的引數,
這邊按你的要求填寫就行,不需要引數的話就不填,
0x002-行程管理
進入行程管理
選擇一個beacon,右鍵,目標-->行程串列
行程串列中 ,kill為關閉程式,refresh為重繪行程串列,inject則是把beacon注入行程,Log Keystrokes為鍵盤記錄,Stea Token為竊取運行指定程式的用戶令牌
簡單的功能就不講了,這邊講一下行程注入(inject),鍵盤記錄(Log Keystrokes),
行程注入
該功能可以把你的beacon會話注入到另外一個程式之中,注入后,及時你原來的后門行程被關閉,你依然可以手握目標機的權限
選擇行程,點擊inject,隨后選擇監聽器,點擊choose,即可發現Cobaltstrike彈回了目標機的一個新會話,這個會話就是成功注入到某行程的beacon
鍵盤記錄
選擇好行程后(可ctrl多選),點擊Log Keystrokes,然后再點擊選單欄上的“鍵盤記錄”按鈕
如圖,成功get到目標機的鍵盤記錄
關注我
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/270667.html
標籤:其他
上一篇:計算機網路常見問題