Cobalt Strike 不出网机器上线方式

Cobalt Strike

Posted by Cooltige on September 15, 2020

实验环境

实验主机

winserver 2003 双网卡机器 192.168.204.134 10.10.10.128

win7_1 不出网机器 10.10.10.129

win7_2 不出网机器 只能通过win7_1连接 10.10.10.130

windows/beacon_tcp/bind_tcp

创建监听器,生成马,上线双网卡机器winerver 2003。

03为双网卡机器,win7_1不出网且只能与03通信,所以创建新监听。

通过新监听器生成对应的马。

通过任意手段在目标上执行,当目标执行过后,回到03beacon,执行connect 10.10.10.129,完成不出网机器上线。

win7_2只能通过win7_1进行连接,所以这个地方想要上线win7_2,必须再创建一个监听器。

通过新监听器创建木马,然后在目标上执行。步骤和上面差不多。

目标上执行后,再win7_1上执行connect 10.10.10.130,即可完成win7_2上线。

最后展示下网络拓扑图。

windows/beacon_smb/bind_pipe

同上方法一样,第一步上一台03入口机器。

创建smb监听器,这个smb监听器ip和port没用,乱填都行。

这里介绍两种上线方式

第一种方式

通过生成一个smb监听器对应的马,在目标上执行smb监听器生成的马。 目标上通过什么权限执行的马,我们获得的就是什么权限。

通过 03 beacon执行命令:link 10.10.10.129 。发现 10.129 并没有上线,这里需要利用10.129的hash或者账号密码制作一个token。然后就可以完成上线

在制作token前,执行命令rev2self,清除当前token。

然后制作token,完成上线。

这里的token制作,不管是什么权限的用户都行。

第二种方式

通过psexec进行上线。

选中目标,然后psexec,进行上线,这里利用的账号必须为administrator才可以,其他管理员账号是不行的。

利用root用户进行psexec,选中smb监听器上线

无法上线

利用administrator用户进行psexec上线。

完成上线,这种方法由于是直接利用administrator账号进行psexec上线,所以得到的beacon一定是system。


win7_2上线,按照上面2种方法依葫芦画瓢就行了。

网络拓扑图

这种监听器上线,我们是利用的link进行连接。在目标上查看网络连接。

利用unlink断开连接。

可以看到图标的样子发生了改变。这时候再查看网络连接。

如果我们想再次拉起beacon,不用重复上面的步骤,只需要再次执行link命令就行了。

查看网络连接,再次与03进行连接。

windows/beacon_reverse_tcp

此方法主要为反向链接,目标不出网机器去链接我们的跳板机,这种方法的好处就在于,每一台内网机器都可以创建一个reverse_tcp监听,可以加大溯源的难度。

同样的首先上线入口机器03 server

然后选中我们的入口机器,创建新的监听,此处不能直接在配置监听处创建,必须要选中一个beacon会话进行创建。

下方填入目标连接03机器的ip和port,点击创建即可。

通过生成可执行文件,在目标上执行,完成上线。

查看win7_1的网络连接可以看到与我们入口机器4444端口进行连接。

同样的方法,一葫芦画瓢在win7_1上创建监听。

生成可执行文件,让目标上线。

查看网络连接。

最后查看下网络拓扑图。

箭头都是指向创建反向监听的机器。

总结

面对不同的情况,选中不同的方式,方可事半功倍。

本站提供的所有内容仅供学习、分享与交流,禁止用于非法途径,通过使用本站内容随之而来的风险与本站无关