蓝队技能
CS反打&其他
- 蓝队技能
- 总结
- 前言
- 一、CS批量上线
- 二、利用漏洞(CVE-2022-39197)
- 三、CS的Server端破解
- 四、旁站反制
- 五、蜜罐反制
- 六、邮件钓鱼反制
- 七、其他反制技术
总结
前言
本文深入探讨了溯源反制中针对远程控制工具CobaltStrike的多种策略与技术。从伪造流量批量上线、利用特定漏洞(如CVE-2022-39197)进行反制,到爆破CS服务端密码、旁站反制,再到蜜罐与邮件钓鱼反制、渗透工具漏洞利用、OpenVPN配置后门,以及盲打攻击反制等,本文全面揭示了蓝队在面对CobaltStrike攻击时的多样化应对手段。这些策略与技术不仅有助于蓝队提升防御能力,还能为网络安全从业者提供宝贵的实战参考。
一、CS批量上线
CS批量上线原理
条件:知道对方的CS的服务端地址,开启了http监听器
- 解密Cookie加密数据
cookie解密工具
python parse_beacon_config.py wZ9S --json > wZ9S.json
2. 利用批量脚本重放上线
批量上线脚本
填写密钥及修改上线信息后启动脚本
python cs_fakesubmit.py
二、利用漏洞(CVE-2022-39197)
条件:
- 机器被CS控制的木马程序 Cobalt Strike <=4.7
- XSS 操作过进程管理
• 获取真实ip地址
• 获取NTLM
• RCE
• SSRF
POC项目地址
三、CS的Server端破解
条件:
- 知道对方的CS的服务端地址
- 针对没有采用隐匿C2地址的技术导致的反制(后门样本被溯源到C2地址)
思路:当发现CS木马文件后,查看文件连接的CS服务器地址,对CS的服务端进行爆破 CS爆破脚本
python csbruter.py 192.168.189.128 pass.txt
四、旁站反制
原理:由于CS服务器经常会部署不止于CS服务端的应用,还会搭建NPS,ARL灯塔等,可采用未授权或默认密码进行反制
例子:NPS未授权
https://github.com/weishen250/npscrack
https://mp.weixin.qq.com/s/ASrWlMM4QfnkqvAMVyN6GA
五、蜜罐反制
主要就是下述反制手段做操作
- 可克隆相关系统页面,伪装“漏洞”系统
- 互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
- 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)
六、邮件钓鱼反制
安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。
七、其他反制技术
1. 渗透工具漏洞:可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打 2. OpenVPN配置后门:OpenVPN配置文件(OVPN文件,是提供给OpenVPN客户端或服务器的配置文件)是可以修改添加命令的。 3. 盲打攻击反制 攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。a. 打脏数据回传给XSS平台b. 打虚假数据回传给XSS平台 4. 通过攻击服务器端口/Web等漏洞 攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可进行
