Просто решил написать веселую легкую статью. А что бы запоминалась проще, снабдил её эпиграфами и анекдотами. И конечно же скринами. -У нас есть что-нибудь выпить? -Сейчас я принесу воды… -я сказал ВЫПИТЬ! а не ПОМЫТЬСЯ!!! Скуки ради (бражки нет, самогон гнать не из чего), надо было чем-то мозги и руки занять, решил поюзать Cobalt Strike. Вбил в Гугле, но не тут то было. Статей на российских форумах практически нет и мануалов по применению тоже. Уважаемая, цветная публика Ачата сразу возмутиться не кошерно пользоваться GUI, но для новичков в самый раз! Ибо: Если что-то не делает того, что вы для него наметили, то это еще не значит что оно бесполезно. Т. Эдисон Стало интереснее, появилась жвачка для мозга, не одурманенном самогоном.Начал читать,качать и изучать. Оказалось, что не все так просто под Луной, даже начиная "скачать и установить". Со времен доисторического человека еще ни одна битва никогда не протекала так, как запланировано. Д. Грэм Ну начнем. Скачал я со ссылки нашего дорогого Мишки (BigBear) Распаковал - не идет.Ключ триала закончился.Началось... Когда дела обстоят - черней некуда, я просто говорю себе "выше нос, могло быть и хуже." И само собой, дела становятся еще хуже. Скив Исправил триал, поставил 9999999 дней, думаю на первое время хватит. Spoiler: Скачать тут http://rgho.st/8Yr7kBrKN пароль на все 123123 уже с подправленным триалом Программа запускается таким образом.Сначала поднимается сервер "teamserver". Сделаем проще что бы меньше набивать руками. Открываем папку ПКМ мыши, жмем открыть в теримнале. http://s015.radikal.ru/i331/1708/6a/5066c075e18f.png sd cobaltstrike-trial ./teamserver 192.168.1.7 1111111111 где 192.168.1.7 IP Вашего, атакующего хоста, а не жертвы.а 1111111111 любой пароль, который вам придет в голову жмем ENTER и получаем запущенный сервер. http://s019.radikal.ru/i632/1708/11/b6e64aefbe58.png Затем запускаем сам Cobalt Strike, аналогичным образом.Открываем папку ПКМ мыши, жмем открыть в терминале и перетаскиваем в терминал файл cobaltstrike и жмем ENTER http://s014.radikal.ru/i327/1708/3a/cbd5c56d7a0b.png http://s019.radikal.ru/i641/1708/74/7361dcf50820.png http://s018.radikal.ru/i507/1708/09/0c59a41bf729.png ...а потом и началось самое забавное. H. Бонапарт Сразу услышу вой новичков не запускается тулза, нет такого как на скринах. У меня вот что выходит http://s16.radikal.ru/i190/1708/78/787d274289de.jpg Если вы недавно обновили среду тестирования проникновения, возможно, вас встретили с особым сюрпризом. Cobalt Strike и его сервер команды больше не будут запускаться. Вместо Cobalt Strike вас приветствует эта очень интуитивная и полезная ошибка: Parallel GC нельзя комбинировать с -XX: ParallelGCThreads = 0 Если не можешь победить честно, просто победи! У. С. Грант Это известная ошибка в Java 1.8u131. Это последнее обновление для Oracle Java представляет собой изменение, которое нарушает параметр командной строки -XX: + AggressiveHeap, используемый Cobalt Strike. Команда Java знает об этой ошибке и имеет уровень приоритета 2. Это уровень, зарезервированный для сбоев, потерь данных и серьезных утечек памяти. Они воспринимают это всерьез, и я ожидаю, что эта проблема исчезнет в ближайшем обновлении Java. В Linux одним из способов обойти эту ошибку Oracle Java является обновление сценариев кобальта и команд серверов, чтобы указать параметр -XX: ParallelGCThreads = 8 после команды java. Я советую вам держаться подальше от Oracle Java 1.8u131. Если вы уже обновили Java 1.8u131, перейдите на Java 1.8u121 Ахтунг! Если не запускается,то через bash sd cobaltstrike-trial bash teamserver 192.168.1.7 111111111 bash cobaltstrike Кобальт уже работает, нужно готовить зловред. Cobalt Strike помогает легко это сделать Veil ( мой тезка), с помошью него и сделаем зловред. Запускаем Veil, мануалов по запуску в инете море и даже океан. Вот странно, а уменя никогда не возникает никаких проблем с обслуживанием, когда я хожу за покупками. К. Конг (Кинг Конг - гигантская обезьяна, герой многих фильмов. У такого малыша никакич сложностей с обслуживанием конечно быть не должно.) Но и часто встречающихся ошибок при запуске тоже хватает. Но о них потом. ******************************************* Скрины плохо поддерживаются на нашем сайте , поэтому продолжение статьи дальше...
Запускаем Veil apt-get -y install git git clone https://github.com/Veil-Framework/Veil-Evasion.git cd Veil-Evasion/ cd setup setup.sh -c Запускаем файл Veil-Evasion.py из терминала /root/Veil-Evasion. cd Veil-Evasion/ Veil-Evasion.py http://s008.radikal.ru/i304/1708/04/2c7576c8dbd6.png Теперь, когда обе программы работают приступаем к выращиванию зловреда. Что значит "У меня есть для тебя одна небольшая работенка"? Геракл (Геракл - герой древнегреческой мифологии. Если учесть что выполненные им работы называются "подвигами Геракла", а объем затраченных на них сил "Геркулесов труд", то его подозрительность при подобном предложении становится вполне понятной.) Показываю путь Cobalt Strike вкладка Attacks -> Packages -> Payload Generator -> жмак-> выбираем Veil http://i066.radikal.ru/1708/d5/c684cf34e664.png http://s018.radikal.ru/i528/1708/22/91025b0af608.png Генерируем и сохраняем http://s014.radikal.ru/i328/1708/fc/ad8e059bc80d.png Теперь перейдите в Veil Выбираем list http://s018.radikal.ru/i527/1708/08/f25e0adef347.png и выберите тип шелла, который вы хотите создать. http://s019.radikal.ru/i621/1708/55/9647ab07bdaf.png Генерируем http://s018.radikal.ru/i521/1708/7e/0c8064ebffd9.png Поздравляем - вы сделали артефакт вуали с полезной нагрузкой кобальта. У женщины, как и у хорошего музыкального произведения, должен быть четкий конец. Ф.Шуберт (Франц Шуберт - известный австрийский композитор 19 века) имеется ввиду его знаменитая не оконченная симфония Как раз о концах Подкидываю жертве ( своей виртуальной машине) файлик с расширением iojuk.exe и запускаем. http://i062.radikal.ru/1708/89/1a2957ba07c9.png Продолжение следует...
Сразу же на Cobalt Strike появляется рабочая сессия . http://s013.radikal.ru/i323/1708/ed/5d00dd9845a9.png http://s019.radikal.ru/i612/1708/8c/0ba3642a2903.png Скриншот с атакуемой машины http://s019.radikal.ru/i634/1708/d7/628bc5979434.png Видео создания вируса Spoiler: Скрипты для кобальта https://github.com/Und3rf10w/Aggressor-scripts https://github.com/rasta-mouse/Aggressor-Script https://github.com/bluscreenofjeff/AggressorScripts https://github.com/armata/cobalt-strike-scripts https://github.com/kussic/CS-KickassBot https://github.com/killswitch-GUI/CobaltStrike-ToolKit https://github.com/rsmudge/ElevateKit https://github.com/vulp1n3/Aggressor_Scripts/blob/master/beacon_tweaks.cna Хорошую информацию трудно добывать. Сделать с ней что-нибудь - еще труднее. Л. Скайуокер (Люк Скайуокер - герой серии фильмов "Звездные войны". Если вспомнить его мучения в первом фильме со случайно попавшей ему в руки информацией, то его чувства вполне можно понять.) Само собой , что все информация выложена с целью ознакомления , а не для взлома. Громадная просьба к форумчанам у кого есть скрипты, щеллы для Cobalt Strike? Выкладывайте, не стесняйтесь,глядишь всем миром приблизим Cobalt Strike к платному. Это была просто обзорная статья по установке Cobalt Strike Продолжение обязательно будет,так весь функционал программы практически не раскрыт. https://www.cobaltstrike.com/aggressor-script/index.html Ссылки на материалы: Эпиграфы https://unotices.com/book.php?id=48143&page=3 Кобальт http://bird.so/search?q=Cobalt+Strike+3.6+–+A+Path+for+Privilege+Escalation
манул шикарен для дотошных нубов будем надеяться, что с картинками хуита не случится п.с. так держать...если б трезвый писал - так понятно бы не поучилось
Ахахахаххахаха. Про гейфтана зарешало всё, сука, ты крут. Ты только веил не интегрируй в кобатьл, лучше так используй, а биф можешь
Когда больше прочитал про Кобальт Страйк, то понял, что не такой уж он и плохой. Главное он довольно простой и доступный начинающему юзеру. Дети будут пищать от восторга. Это же круче чем их любимый "ДаркКомет" и прост , и незатейлив как грабли. Гуишная оболочка очень удобная и наглядная. Функций значительно больше, чем в Армитаже. Вывод. Кобальт мне все больше и больше начинает нравиться. зы. На новую статью , про скрипты Кобальта Страйка, материала пока маловато. Коплю и изучаю. Как накоплю, так сразу напишу. Повторюсь для начинающих юзеров Кобальт Страйк - это настоящая бомба. Девтон как всегда прав. Кобальт будет статьей-миллиоником.
Кстати скрипт "Рабочий стол" не только показывает все что твориться на компе жертвы, но при нажатии кнопки с "Человечком" можно управлять мышью компом жертвы. Правда жертва все видит.
С Veil тема отдельная, у меня у самого несколько раз вставал криво. Попробуй не скачивать файл а именно установить с сайта. Если не выходит, то попробуй удали Veil и переустанови снова. Если и так не выходит, то попробуй на метасплоите фраемворке. Результат почти одинаков...
в общем разобрался, нужно просто удалить и заново поставить, у многих есть такие траблы =( sudo apt-get purge veil-evasion sudo apt-get install veil-evasion veil-evasion
Когда что-то не получается, то запоминается лучше. Не вешай нос - это бывает. Сначала обнови всю систему apt-get update -y && apt-get upgrade -y && apt-get dist-upgrade -y Затем почитай тут https://github.com/Veil-Framework/Veil-Evasion/issues/95 Попробуй установить заново Veil, удалив /usr/share/veil-output Домой приду еще подумаю.
Абсолютно с вами согласен, спасибо =) Попробовал, но так не чего не вышло. Сейчас переустановлю полностью систему и попробую заново (Я больной на это дело)
проблему решил установкой veil 3.0 https://github.com/Veil-Framework/Veil -------------------------------------------- теперь следующая проблема, как я понял занят порт 50050 или что это за ошибка ? Как решить ?
стоит: root@kali:~# java -version java version "1.8.0_121" Java(TM) SE Runtime Environment (build 1.8.0_121-b13) Java HotSpot(TM) 64-Bit Server VM (build 25.121-b13, mixed mode) Мало того, даже уже переустанавливал, все запускалось уже и после запуска такое произошло.
