Авторские статьи Скрипты Cobalt Strike 3. часть 2.

Обсуждение в разделе «Статьи», начал(-а) Veil, 9.09.2017.

  1. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 413
    Репутация:
    48
    Как вы уже заметили Кобальт Страйк довольно "подрос" после части 1. Появились скрипты, за которые Кобальт и ценится.

    [​IMG]

    http://s019.radikal.ru/i615/1709/f3/640087dca39e.png

    Если не можешь ослепить их ловкостью, сбей их с толку враками.
    Проф. Х. Хилл



    Начну сразу со сладкого. Новички приникли к экранам и приготовились. Первый скрипт посвящается вам.
    Скрипт , где делать ничего не надо и где вы почувствуете себя уже хакерами.
    1 Скрипт контроля рабочего стола . Explore => Desktop ( VNC)

    [​IMG]

    http://s019.radikal.ru/i624/1709/d5/3e68bdf94fc2.png

    Мало того , что видете на своем экране, все то что твориться на мониторе атакуемого, вы еще можете
    работать мышью. Все открывается, закрывается и запускается.
    Как в любимом всеми школьниками "ДаркКомет", только с учетом того что файл, который вы готовили на Veil не палится антивирем.

    [​IMG]

    http://s03.radikal.ru/i176/1709/fc/43ca990b233a.png
    Для того что бы включить или отключить мышь просто надо нажать на иконку "человечка в шляпе".
    Минус этого скрипта.
    Жертва видит как атакующий юзает мышью, но можно просто смотреть, включить кейлогер и делать скрины.
    Которые записываются в отдельном файле Кобальта, так что после сессии вы можете потом спокойно все посмотреть.
    Продвинутым юзерам этот скрипт практически бесполезен,хотя...

    2 Скрипт Process List

    Нужный скрипт, который показывает все процессы на компе жертвы.
    Вы можете не только посмотреть, но и убить процесс или внедрить.
    Красным выделен наш зловред.

    [​IMG]

    http://s009.radikal.ru/i309/1709/51/8671e3ca3769.png
    Очень легко удалив процесс вызвать "синий экран смерти" у юзера

    3 Скрипт File Browser
    Отличный скрипт позволяет прошмыгнуть во все папки юзера.
    А так же удалить и скачать файлы жертвы.
    Заметьте и все GUI, ничего мудрить не надо.
    Все просто и удобно.

    [​IMG]

    http://i056.radikal.ru/1709/5b/f7c102521d31.png

    4 Скрипт Mimikatz версия 2.6
    Великолепный скрипт, который описан подробно и доходчиво в статье SoolFaa https://forum.antichat.ru/threads/450064/
    Скажу только что основные команды вызываются простым нажатием соответствующей команды.
    [​IMG]

    http://s015.radikal.ru/i331/1709/00/3244dd5722a1.png

    В Кобальт Страйке команды выполняются в строке beacon>

    [​IMG]

    http://s018.radikal.ru/i503/1709/0a/eef3cce709ec.png
    5 Скрипты остальные.
    Их довольно много. Они показывают,какой IP город, провайдера. Есть ли у юзера права админа, работает ли он на виртуальной машине и т.д
    [​IMG]

    http://s009.radikal.ru/i309/1709/e1/b21800492b6d.png

    Эти скрипты вы можете скачать в части 1.
    Вставляются очень просто через Script Manager => Load

    Большая просьба, если кто найдет новые скрипты для Кобальта просьба выложить.
    На этом мои статьи про Кобальт Страйк не заканчиваются со временем напишу и часть 3 и 4, и наверное даже 5, просто пока материала маловато.
    Продолжение следует.
    Дополнительные скрипты для Кобальта
    https://github.com/bluscreenofjeff/AggressorScripts
    https://github.com/001SPARTaN/aggressor_scripts
    https://github.com/vysec/Aggressor-VYSEC
    https://github.com/harleyQu1nn/AggressorScripts
    https://github.com/rasta-mouse/Aggressor-Script
    https://github.com/ramen0x3f/AggressorScripts
     
    #1 Veil, 9.09.2017
    В последний раз редактировалось: 9.09.2017
  2. BabaDook

    BabaDook Level 8

    Регистрация:
    9.05.2015
    Сообщения:
    710
    Одобрения:
    812
    Репутация:
    51
    За Дейфтона отдельный респект. Пс, Лучше наверное объединить с предыдущей статье. Ещё классный момент есть, можно подгрузить beef and veil. Тоже довольно удобно, особенно биф, гуишка вся фигня.
    Вместо Ввода mimikatz privelege::restore итд можно сокращёнными командами пользоваться.
    beacon - Это шелл, полезная нагрузка, как meterpreter только кобальтовский.
     
    #2 BabaDook, 9.09.2017
    В последний раз редактировалось: 9.09.2017
    Это одобряют Veil и ms13.
  3. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 413
    Репутация:
    48
    Tab сразу дописывает команду с первых букв.
    Я еще не все скрипты изучил. Сейчас выложил только базовые, есть еще куча скриптов. правда я их еще не юзал.
    Но ГУИ все равно удобная штука, хотя и как бы не кошерно.
     
  4. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 413
    Репутация:
    48
    Если подписать файл Veil, то скрытность еще больше увеличиться.
    Вот до подписи
    [​IMG]

    А вот после подписи
    [​IMG]
     
    Это одобряют Gorev и uzeerpc.
  5. sweet_hack

    sweet_hack New Member

    Регистрация:
    27.05.2010
    Сообщения:
    9
    Одобрения:
    0
    Репутация:
    0
    Никто с ошибками не сталкивался такими
    Code:
    [17:04:57] Attempted to call non-existent function &dialog at Persistence_Menu.cna:102
    [17:04:57] Attempted to call non-existent function &dialog_description at Persistence_Menu.cna:115
    [17:04:57] Attempted to call non-existent function &drow_text at Persistence_Menu.cna:117
    [17:04:57] Attempted to call non-existent function &drow_text at Persistence_Menu.cna:118
    [17:04:57] Attempted to call non-existent function &drow_text at Persistence_Menu.cna:119
    [17:04:57] Attempted to call non-existent function &drow_text at Persistence_Menu.cna:120
    [17:04:57] Attempted to call non-existent function &drow_file at Persistence_Menu.cna:121
    [17:04:57] Attempted to call non-existent function &dbutton_action at Persistence_Menu.cna:123
    [17:04:57] Attempted to call non-existent function &dialog_show at Persistence_Menu.cna:124
    Это при запуске персистенса скрипт из AggressorScripts harleyQu1nn.Кобальт 3.6

    P.S. заработало в кобальте 3.8
     
    #5 sweet_hack, 27.10.2017
    В последний раз редактировалось: 27.10.2017
Загрузка...
Similar Threads - Скрипты Cobalt Strike
  1. Veil

    Авторские статьи Cobalt Strike 3. часть 1

    Veil, 6.08.2017, в раздел: Статьи
    Ответы:
    49
    Просмотры:
    12 716
  2. DampZ
    Ответы:
    2
    Просмотры:
    3 331
  3. |qbz|
    Ответы:
    3
    Просмотры:
    4 359
  4. kroŧ

    Авторские статьи Чистка скриптов от ав-сигнатур.

    kroŧ, 21.08.2012, в раздел: Статьи
    Ответы:
    2
    Просмотры:
    6 439