Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Cobalt Strike 3.0 La herramienta de Post-Explotación

  • 14 Respuestas
  • 8852 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado BrowserNet

  • *
  • Underc0der
  • Mensajes: 89
  • Actividad:
    1.67%
  • Reputación 2
  • El TioCyberPunks esta en el barco
    • Ver Perfil
  • Skype: browsernet
« en: Mayo 22, 2016, 07:50:04 pm »


Saludos mis hermanos de underc0de en esta oportunidad les enseñare a utilizar Cobalt Strike en su ultima versión, según el autor data que la plataforma funciona mediante post-explotación y canales encubiertos para emular una tranquila explotación a largo plazo mediante el acto integrado en la red del cliente de igual manera permite cambiar sus indicadores de red para que parezca diferentes malware cada vez.

Estas herramientas complementan el proceso de Cobalt Strike sólidamente con la mano de la ingeniería social, su capacidad de colaboración es robusta, y los informes únicos son unicamente diseñados para ayudar a la formación del equipo.

La plataforma y sus complementos estándares tienen un costo.



¿Cuánto cuesta el Cobalt Strike?


Las nuevas licencias Cobalt Strike cuestan $ 3.500 por usuario para una licencia de un año. Renovación de licencias cuestan $ 2.500 por usuario al año.

Descarga:

https://www.cobaltstrike.com/trial

como vemos dejemos registrarnos para bajar la licencia key de la descarga si es que nos aceptan por la restricciones y unificado solamente para EE.UU, pero hay otra manera para poder descargarla.

https://www.cobaltstrike.com/download



Pero nos dice que debemos solicitar un trial para poder adquirir la licencia y que debemos ponernos en contacto con el siguiente correo electrónico [email protected] para solicitar un enlace de descarga directa para el PE.

Entonces podemos utilizar cualquier Proxy de anonimato con la IP de EE.UU para poder entrar al enlace de descarga de Cobalt Strike, existen muchos las cuales pueden utilizar y están en mi blog pueden buscar los artículos si lo desean, pero también existen "Proxys" que podemos utilizar mediante navegadores web mediante la configuración de red y paginas que se conectan en un proxy y cambiar nuestra IP específicamente en un servicio web pre terminado.

https://www.proxfree.com/proxy/




Ahora ya podemos acceder al formulario de descargarlo sin ningún problema o pueden descargarlo en el siguiente enlace:

http://www.mediafire.com/download/s9xz5pym8gt5i4w/cobaltstrike-trial.tgz

El trial de Cobalt Strike 3.0 tiene una valides de 21 días para ser usado, pero como esta en un lenguaje de código abierto, la licencia se a alterado en todas las versiones anteriores de dicha herramienta la cual podemos encontrar como crackearla sin tecnicismos en la red, en mi caso creo que no hay necesidad de llevar acabo dicho procedimiento.

Configurando cobalt strike

Abriremos la terminal, extraeremos el archivo de cobalstrike y por ultimo daremos permisos de ejecución a la carpeta

Código: [Seleccionar]
[email protected]:~ tar -xvzf cobaltstrike-trial.tgz
[email protected]~ cd cobaltstrike-trial
[email protected]:~ chmod 775 *
Luego de ello vamos a ejecutar el archivo teamserver y añadiremos lo siguiente:

Código: [Seleccionar]
[email protected]:~/cobaltstrike3.0# ls -la
[email protected]:~/cobaltstrike3.0# ./teamserver 192.168.179.135 test

como vemos al ejecutar el teamserver añado mi ip 192.168.179.135 para establecer el servidor  y añadí la palabra test para definir la contraseña de la plataforma.



como vemos en la parte del trial ya había configurado los valores de 21 días a 99999999 días, también podemos observar nuestro certificado establecido en encriptacion SHA1, ahora pasaremos a ejecutar el Cobalt Strike.

Código: [Seleccionar]
[email protected]:~/cobaltstrike3.0# ./cobaltstrike


al iniciar la herramienta nos aparece un aviso sobre el trial, ahora daremos aceptar, luego nos aparecerá un perfil del servidor, en usuario pueden añadir lo que deseen, y en password deben añadir la que pusieron al iniciar el teamserver en mi caso fue " test "



 Luego de ello, nos aparece el key del servidor SSL del teamserver la cual le daremos SI para establecer la conexión a la plataforma de Cobalt strike.



Entonces ya tenemos el servidor corriendo con la plataforma con éxito



Métodos de Post-Explotación

Lo primero que haremos sera crear nuestro servidor de escucha para eso, entraremos en el icono de los "Audífonos", y le daremos clip en "ADD" y configuraremos lo siguiente:

Name: añadimos el nombre que le otorgaremos a nuestro servidor, en mi caso fue "prueba2"
Payload: dejaremos correr la conexión en "Windows" >> beacon_http >> reverse_http
Host: lo dejamos como esta, ya que es nuestra IP del servidor.
Port: nuestro puerta de escucha en mi caso lo deje en 8080.



Una ves que hallamos añadido nuestra configuración, le daremos en Save, luego de ello automáticamente nos saldrá el siguiente mensaje:



la cual nos dice que la conexión beacon HTTP  sera establecida con Cobalt Strike mediante nuestra IP, le daremos aceptar.



Como podemos notar ya tenemos nuestro servidor de escucha, ahora lo que haremos sera crear nuestro Payload en esta oportunidad lo haremos con un archivo de imagen para hacerlo mas ingenioso y muy creíble, lo que haremos sera dirigirnos a la barra de herramientas en la pestaña
"Attacks" > Packages > Windows Dropper



Luego de ello nos aparecerá el primer cuadro la cual le añadiremos el nombre de la lista, en mi caso fue prueba1, rellenamos los datos luego de ello iremos a la opción "Embedded File" le daremos en la carpeta y escogeremos una imagen en mi caso fue esta :3





Luego que hallamos generado nuestro payload lo guardaremos con mismo nombre del archivo de imagen en mi caso se llama "sexy.jpg" y lo guardamos como "sexy.jpg.exe", la cual se ubicara e la carpeta "ROOT" - Carpeta Personal, ahora que ya tenemos nuestro archivo de imagen infectado, lo enviaremos a la victima :)



Una ves que nuestro victima aya abierto la imagen, automáticamente hemos explotado su sistema y podemos controlarlo desde nuestro plataforma de Cobalt Strike



Lo que haremos sera interactuar con plataforma al estilo de armitage, pero esta tiene mejores opciones que podamos imaginar, lo que haremos primero sera darle en el icono de la victima y dar en la opción "Interact"



 Luego le añadiremos el comando "help" para que nos aparezca una lista de comandos que podemos interactuar de acuerdo a nuestras necesidades.

En mi caso tecleare el comando "elevate", para establecer una conexión con el usuario administrativo del sistema mismo, nos aparecerá un cuadro la cual solamente señalamos la primera opcion y le damos "Choose"



Como vemos ya hemos explotado el sistema con la cual obtuvimos tener una sesiona con el usuario del sistema propio.

http://3.bp.blogspot.com/-4MmbC7ccMHI/VjReAPysFQI/AAAAAAAACjA/FiUKBHCtFbM/s1600/16.png

Si deseamos ver y controlar la maquina de la victima podemos añadir las siguientes opciones del Explore - Desktop VNC

Explore - Desktop VNC




de igual manera pueden ver los archivos del servidor para navegar libremente y tener privilegios de ver, descargar, subir, etc pueden entrar en la opción Explore - File Browser



también podemos hacer un dump a al sistema para obtener credenciales con mimikatz para obtener tanto en texto plano como en hash, eso dependencia de los registros añadidos, en este caso me devolvió en texto plano mis credenciales de mi usuario de windows

User: Admin
Pass: Admin




De igual manera pueden crear un archivo .exe legitimo, ahora haré la prueba en un windows 8.1 que tengo como sistema propio.



Como también pueden crear archivos maliciosos en Java applet, la configuración es sencilla, solo añaden el puerto de escucha para recibir las conexiones y enviamos el link infectado a la victima.  :)





Una ves que la victima aya aceptado que corra el script ya sabemos el resultado :)



Sin mas que decir, espero halla sido de su agrado este POST y agradecer al administrador "Antrax" por querer publicar algunos de mis contenidos al blog de la comunidad underc0de, Gracias totales  8)

Desconectado baron.power

  • *
  • Underc0der
  • Mensajes: 290
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Agosto 07, 2016, 09:20:34 am »
muy bueno el post pero al bajarlo de mediafire me da error, dic elo siguiente:

Dangerous File Blocked

The file you attempted to download was determined to be dangerous. For your protection, MediaFire does not enable distribution of dangerous files.

Still have questions, or think we've made a mistake? Please contact support for further assistance.

A ver si lo podias subir a mega, gracias, saludos


Desconectado G4ntZ

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Agosto 08, 2016, 01:28:06 am »
Muy buen post amigo, pero el link de mediafire esta caido, nose si puedes subirlo denuevo, gracias de antemano saludos

Desconectado kmorfo

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Agosto 08, 2016, 05:48:40 pm »
Buen post, me pico la curiosidad y haciendo pruebas con el ando.
Ya si sigue alguien con mas ejemplos algo mas avanzado seria perfecto jeje
por cierto, se puede bajar directamente de su pagina con el enlace que pones de https://www.cobaltstrike.com/download, el parcheo para alargar el trial es bastante facil y rapido, por si alguien se anima a instalarselo.
un saludo

Desconectado playerasus

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Agosto 24, 2016, 08:28:26 pm »
el link de mediafire no funciona por que mediafire lo detecta como un virus y lo bloquea,para que eso no pase el que subio al archivo tiene que meter el programa en una carpeta y comprimirlo en .rar  ;)

Desconectado vomitus

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Agosto 31, 2016, 09:47:05 pm »
gracias...  pero link caido 

Desconectado puntoCL

  • *
  • Moderator
  • Mensajes: 279
  • Actividad:
    0%
  • Reputación 6
  • Magallanes no es chile :D
    • Ver Perfil
« Respuesta #6 en: Agosto 31, 2016, 11:39:16 pm »
@vomitus @playerasus lo puedes descargar directo de la pagina principal https://www.cobaltstrike.com/ pero se tiene que descargar atraves de un proxy en los estados unidos




Desconectado emiliocastro

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Septiembre 04, 2016, 03:12:47 pm »
usando el proxy he tenido que editar el html para ver el botón de descarga. cambiar

Código: [Seleccionar]
display: none;
por

Código: [Seleccionar]
display: block;
y sale:



para elegir la version de Linux:

Código: [Seleccionar]
<input type="radio" name="package" value="cobaltstrike-trial.tgz" checked>
<input type="radio" name="package" value="cobaltstrike-trial.zip">
« Última modificación: Septiembre 04, 2016, 03:47:30 pm por emiliocastro »

Desconectado EPARA

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #8 en: Septiembre 05, 2016, 10:25:05 am »
Excelente amigo Omar, porfa trata de arreglar el enlace de descargas. Saludos...

Desconectado lokillo_20

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Septiembre 08, 2016, 07:39:07 pm »
Estoy intentando descargarlo pero me fallan todos los proxys , el unico q me anduvo fue kproxy.com, la version de linux me da que esta caido y la de windows ocupa 17,6 mb pero me descarga hasta 10 mb y se corta, debe ser por alguna restriccion de datos del proxy. Saludos!

Desconectado puntoCL

  • *
  • Moderator
  • Mensajes: 279
  • Actividad:
    0%
  • Reputación 6
  • Magallanes no es chile :D
    • Ver Perfil
« Respuesta #10 en: Septiembre 08, 2016, 07:49:00 pm »
@lokillo_20 googleando no mas de 30 sec encuentre algo





Desconectado puntoCL

  • *
  • Moderator
  • Mensajes: 279
  • Actividad:
    0%
  • Reputación 6
  • Magallanes no es chile :D
    • Ver Perfil
« Respuesta #11 en: Septiembre 08, 2016, 07:50:10 pm »
@lokillo_20 googleando no mas de 30 sec encuentre algo. si te pregunta que esta ocupado es Ultrasurf






Desconectado lokillo_20

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #12 en: Septiembre 08, 2016, 08:06:20 pm »
Gracias! voy a probar, ya que probe con cuanto proxy se me cruzo y no pude. Pruebo y comento. Saludos!

Desconectado seamus

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #13 en: Septiembre 23, 2016, 10:38:16 pm »
Que diferencia existe entre esto y un armitage?

Desconectado puntoCL

  • *
  • Moderator
  • Mensajes: 279
  • Actividad:
    0%
  • Reputación 6
  • Magallanes no es chile :D
    • Ver Perfil
« Respuesta #14 en: Septiembre 23, 2016, 11:24:17 pm »
@seamus es la version PRO de armitage. adonde es mas completo adonde le agregas plugin como cortana tiene mas modulo etc...




 

¿Te gustó el post? COMPARTILO!



Usando la herramienta "Weevely"

Iniciado por OswireW0rding

Respuestas: 1
Vistas: 3882
Último mensaje Marzo 11, 2014, 07:12:05 pm
por Acidkode
Herramienta OSINT para buscar contraseñas para direcciones de correo electrónico

Iniciado por Gold Master

Respuestas: 0
Vistas: 2912
Último mensaje Abril 16, 2019, 09:09:34 pm
por Gold Master
Herramienta Scanner y explota Eternalblue(MS17-010) / Bluekeep (CVE-2019-0708)

Iniciado por harold12631

Respuestas: 1
Vistas: 217
Último mensaje Octubre 11, 2019, 03:06:13 pm
por KiddArabic
[TOOL] - Neto: Una herramienta para analizar las extensiones del navegador

Iniciado por puntoCL

Respuestas: 0
Vistas: 1866
Último mensaje Julio 31, 2018, 03:45:00 am
por puntoCL
[VMInjector] Inyección DLL herramienta para desbloquear máquinas virtuales

Iniciado por Aryenal.Bt

Respuestas: 1
Vistas: 3724
Último mensaje Noviembre 30, 2012, 09:43:40 pm
por alexander1712