Авторские статьи Cobalt Strike 3. часть 1

Discussion in 'Статьи' started by Veil, 6 Aug 2017.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Просто решил написать веселую легкую статью. А что бы запоминалась проще, снабдил её эпиграфами и анекдотами. И конечно же скринами.

    -У нас есть что-нибудь выпить?
    -Сейчас я принесу воды…
    -я сказал ВЫПИТЬ! а не ПОМЫТЬСЯ!!!


    Скуки ради (бражки нет, самогон гнать не из чего), надо было чем-то мозги и руки занять, решил поюзать Cobalt Strike.
    Вбил в Гугле, но не тут то было. Статей на российских форумах практически нет и мануалов по применению тоже.
    Уважаемая, цветная публика Ачата сразу возмутиться не кошерно пользоваться GUI, но для новичков в самый раз! Ибо:

    Если что-то не делает того, что вы для него наметили, то это еще не значит что оно бесполезно.
    Т. Эдисон


    Стало интереснее, появилась жвачка для мозга, не одурманенном самогоном.Начал читать,качать и изучать.
    Оказалось, что не все так просто под Луной, даже начиная "скачать и установить".

    Со времен доисторического человека еще ни одна битва никогда не протекала так, как запланировано.
    Д. Грэм


    Ну начнем. Скачал я со ссылки нашего дорогого Мишки (BigBear)
    Распаковал - не идет.Ключ триала закончился.Началось...

    Когда дела обстоят - черней некуда, я просто говорю себе "выше нос, могло быть и хуже." И само собой, дела становятся еще хуже.
    Скив

    Исправил триал, поставил 9999999 дней, думаю на первое время хватит.
    http://rgho.st/8Yr7kBrKN пароль на все 123123 уже с подправленным триалом

    Программа запускается таким образом.Сначала поднимается сервер "teamserver".
    Сделаем проще что бы меньше набивать руками. Открываем папку ПКМ мыши, жмем открыть в теримнале. http://s015.radikal.ru/i331/1708/6a/5066c075e18f.png
    [​IMG]

    sd cobaltstrike-trial
    ./teamserver 192.168.1.7 1111111111
    где 192.168.1.7 IP Вашего, атакующего хоста, а не жертвы.а 1111111111 любой пароль, который вам придет в голову
    жмем ENTER и получаем запущенный сервер. http://s019.radikal.ru/i632/1708/11/b6e64aefbe58.png

    [​IMG]

    Затем запускаем сам Cobalt Strike, аналогичным образом.Открываем папку ПКМ мыши,
    жмем открыть в терминале и перетаскиваем в терминал файл cobaltstrike и жмем ENTER
    http://s014.radikal.ru/i327/1708/3a/cbd5c56d7a0b.png
    http://s019.radikal.ru/i641/1708/74/7361dcf50820.png
    http://s018.radikal.ru/i507/1708/09/0c59a41bf729.png

    [​IMG]

    [​IMG]

    [​IMG]

    ...а потом и началось самое забавное.
    H. Бонапарт


    Сразу услышу вой новичков не запускается тулза, нет такого как на скринах.
    У меня вот что выходит http://s16.radikal.ru/i190/1708/78/787d274289de.jpg

    [​IMG]

    Если вы недавно обновили среду тестирования проникновения, возможно, вас встретили с особым сюрпризом.
    Cobalt Strike и его сервер команды больше не будут запускаться.
    Вместо Cobalt Strike вас приветствует эта очень интуитивная и полезная ошибка:
    Parallel GC нельзя комбинировать с -XX: ParallelGCThreads = 0

    Если не можешь победить честно, просто победи!
    У. С. Грант


    Это известная ошибка в Java 1.8u131.
    Это последнее обновление для Oracle Java представляет собой изменение, которое нарушает параметр командной строки
    -XX: + AggressiveHeap, используемый Cobalt Strike.
    Команда Java знает об этой ошибке и имеет уровень приоритета 2.
    Это уровень, зарезервированный для сбоев, потерь данных и серьезных утечек памяти.
    Они воспринимают это всерьез, и я ожидаю, что эта проблема исчезнет в ближайшем обновлении Java.
    В Linux одним из способов обойти эту ошибку Oracle Java является обновление сценариев кобальта и команд серверов,
    чтобы указать параметр -XX: ParallelGCThreads = 8 после команды java.
    Я советую вам держаться подальше от Oracle Java 1.8u131. Если вы уже обновили Java 1.8u131, перейдите на Java 1.8u121

    Ахтунг!
    Если не запускается,то через bash
    sd cobaltstrike-trial
    bash teamserver 192.168.1.7 111111111
    bash cobaltstrike


    Кобальт уже работает, нужно готовить зловред. Cobalt Strike помогает легко это сделать Veil ( мой тезка), с помошью него и сделаем зловред.

    Запускаем Veil, мануалов по запуску в инете море и даже океан.

    Вот странно, а уменя никогда не возникает никаких проблем с обслуживанием, когда я хожу за покупками.
    К. Конг
    (Кинг Конг - гигантская обезьяна, герой многих фильмов. У такого малыша никакич сложностей с обслуживанием конечно быть не должно.)


    Но и часто встречающихся ошибок при запуске тоже хватает.
    Но о них потом.
    *******************************************
    Скрины плохо поддерживаются на нашем сайте , поэтому продолжение статьи дальше...
     
    #1 Veil, 6 Aug 2017
    Last edited: 31 Oct 2017
    V777, K800, binarymaster and 4 others like this.
  2. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Запускаем Veil

    apt-get -y install git
    git clone https://github.com/Veil-Framework/Veil-Evasion.git
    cd Veil-Evasion/
    cd setup
    setup.sh -c
    Запускаем файл Veil-Evasion.py из терминала /root/Veil-Evasion.
    cd Veil-Evasion/
    Veil-Evasion.py
    http://s008.radikal.ru/i304/1708/04/2c7576c8dbd6.png
    [​IMG]

    Теперь, когда обе программы работают приступаем к выращиванию зловреда.

    Что значит "У меня есть для тебя одна небольшая работенка"?
    Геракл
    (Геракл - герой древнегреческой мифологии.
    Если учесть что выполненные им работы называются "подвигами Геракла", а объем затраченных на них сил "Геркулесов труд",
    то его подозрительность при подобном предложении становится вполне понятной.)


    Показываю путь Cobalt Strike вкладка Attacks -> Packages -> Payload Generator -> жмак-> выбираем Veil http://i066.radikal.ru/1708/d5/c684cf34e664.png

    [​IMG]

    http://s018.radikal.ru/i528/1708/22/91025b0af608.png

    [​IMG]

    Генерируем и сохраняем http://s014.radikal.ru/i328/1708/fc/ad8e059bc80d.png

    [​IMG]

    Теперь перейдите в Veil
    Выбираем list
    http://s018.radikal.ru/i527/1708/08/f25e0adef347.png

    [​IMG]

    и выберите тип шелла, который вы хотите создать. http://s019.radikal.ru/i621/1708/55/9647ab07bdaf.png

    [​IMG]

    Генерируем http://s018.radikal.ru/i521/1708/7e/0c8064ebffd9.png

    [​IMG]

    Поздравляем - вы сделали артефакт вуали с полезной нагрузкой кобальта.

    У женщины, как и у хорошего музыкального произведения, должен быть четкий конец.
    Ф.Шуберт
    (Франц Шуберт - известный австрийский композитор 19 века)
    имеется ввиду его знаменитая не оконченная симфония :) Как раз о концах


    Подкидываю жертве ( своей виртуальной машине) файлик с расширением iojuk.exe и запускаем.
    http://i062.radikal.ru/1708/89/1a2957ba07c9.png
    [​IMG]

    Продолжение следует...
     
    #2 Veil, 6 Aug 2017
    Last edited: 6 Aug 2017
    V777, binarymaster, uzeerpc and 4 others like this.
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Сразу же на Cobalt Strike появляется рабочая сессия .
    http://s013.radikal.ru/i323/1708/ed/5d00dd9845a9.png

    [​IMG]

    http://s019.radikal.ru/i612/1708/8c/0ba3642a2903.png
    [​IMG]

    Скриншот с атакуемой машины http://s019.radikal.ru/i634/1708/d7/628bc5979434.png

    [​IMG]

    Видео создания вируса



    Хорошую информацию трудно добывать. Сделать с ней что-нибудь - еще труднее.
    Л. Скайуокер
    (Люк Скайуокер - герой серии фильмов "Звездные войны".
    Если вспомнить его мучения в первом фильме со случайно попавшей ему в руки информацией, то его чувства вполне можно понять.)


    Само собой , что все информация выложена с целью ознакомления , а не для взлома.

    Громадная просьба к форумчанам у кого есть скрипты, щеллы для Cobalt Strike?
    Выкладывайте, не стесняйтесь,глядишь всем миром приблизим Cobalt Strike к платному.

    Это была просто обзорная статья по установке Cobalt Strike
    Продолжение обязательно будет,так весь функционал программы практически не раскрыт.
    https://www.cobaltstrike.com/aggressor-script/index.html


    Ссылки на материалы:
    Эпиграфы https://unotices.com/book.php?id=48143&page=3
    Кобальт http://bird.so/search?q=Cobalt+Strike+3.6+–+A+Path+for+Privilege+Escalation
     
    #3 Veil, 6 Aug 2017
    Last edited: 6 Aug 2017
    V777, binarymaster, uzeerpc and 9 others like this.
  4. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,371
    Likes Received:
    5,124
    Reputations:
    48
    [​IMG]
    манул шикарен для дотошных нубов
    будем надеяться, что с картинками хуита не случится
    п.с. так держать...если б трезвый писал - так понятно бы не поучилось ;)
     
  5. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Ахахахаххахаха. Про гейфтана зарешало всё, сука, ты крут.
    Ты только веил не интегрируй в кобатьл, лучше так используй, а биф можешь
     
  6. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Когда больше прочитал про Кобальт Страйк, то понял, что не такой уж он и плохой.
    Главное он довольно простой и доступный начинающему юзеру. Дети будут пищать от восторга.
    Это же круче чем их любимый "ДаркКомет" и прост , и незатейлив как грабли.
    Гуишная оболочка очень удобная и наглядная. Функций значительно больше, чем в Армитаже.
    Вывод. Кобальт мне все больше и больше начинает нравиться.
    зы. На новую статью , про скрипты Кобальта Страйка, материала пока маловато. Коплю и изучаю.
    Как накоплю, так сразу напишу.
    Повторюсь для начинающих юзеров Кобальт Страйк - это настоящая бомба.
    Девтон как всегда прав. Кобальт будет статьей-миллиоником.
     
  7. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    [​IMG]
    Кстати скрипт "Рабочий стол" не только показывает все что твориться на компе жертвы, но при нажатии кнопки с "Человечком" можно управлять мышью компом жертвы. Правда жертва все видит.
     
  8. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    ребят, подскажите пожалуйста, в veil пишет: payloads 0
    как добавить их ? У вас на скрине 56 шт.
     
  9. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    С Veil тема отдельная, у меня у самого несколько раз вставал криво. Попробуй не скачивать файл а именно установить с сайта. Если не выходит, то попробуй удали Veil и переустанови снова.
    Если и так не выходит, то попробуй на метасплоите фраемворке.
    Результат почти одинаков...
     
    Tr1stan likes this.
  10. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    в общем разобрался, нужно просто удалить и заново поставить, у многих есть такие траблы =(
    sudo apt-get purge veil-evasion
    sudo apt-get install veil-evasion
    veil-evasion
     
  11. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    проблема на проблеме =(
    Вот теперь такая ошибка, как быть ?(
    [​IMG]
     
  12. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Попробуй сгенерировать другой эксплоит. Veil у меня тоже долго капризничал, потом как-то сам встал.
     
    Tr1stan likes this.
  13. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Когда что-то не получается, то запоминается лучше. Не вешай нос - это бывает.
    Сначала обнови всю систему apt-get update -y && apt-get upgrade -y && apt-get dist-upgrade -y
    Затем почитай тут https://github.com/Veil-Framework/Veil-Evasion/issues/95
    Попробуй установить заново Veil, удалив /usr/share/veil-output
    Домой приду еще подумаю.
     
    K800 and Tr1stan like this.
  14. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Абсолютно с вами согласен, спасибо =)
    Попробовал, но так не чего не вышло.
    Сейчас переустановлю полностью систему и попробую заново (Я больной на это дело)
     
  15. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    и попробуй папку Veil-Evasion перенести из домашней root в /usr/share/
    Бывает,что помогает
     
    #15 Veil, 11 Sep 2017
    Last edited: 11 Sep 2017
    Tr1stan likes this.
  16. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    cd /veil-evasion /config/update.py
     
    Veil and Tr1stan like this.
  17. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    проблему решил установкой veil 3.0
    https://github.com/Veil-Framework/Veil
    --------------------------------------------
    теперь следующая проблема, как я понял занят порт 50050 или что это за ошибка ? Как решить ?
    [​IMG]
     
  18. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Поставь яву старую Java 1.8u121
     
    Tr1stan likes this.
  19. Tr1stan

    Tr1stan New Member

    Joined:
    10 Sep 2017
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    стоит:
    root@kali:~# java -version
    java version "1.8.0_121"
    Java(TM) SE Runtime Environment (build 1.8.0_121-b13)
    Java HotSpot(TM) 64-Bit Server VM (build 25.121-b13, mixed mode)

    Мало того, даже уже переустанавливал, все запускалось уже и после запуска такое произошло.
     
  20. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Мистика. Я новую виртуалку поставил что бы проверить у меня сразу все пошло.