Pack Scripts для Cobalt Strike

в 6:56, , рубрики: Aggressor scripts, cobalt strike, LSTAR, Pack scripts

Введение

Добрый день, ранее мы уже рассказывали что такое Aggressor-скрипты, также про их самостоятельное написание.

В этой статье хотим показать пример репозитория содержащий большое количество Aggressor-скриптов для Cobalt Strike, чтобы вы не тратили время на написание данного функционала.

Репозиторий со скриптами вы можете скачать по следующей ссылке https://github.com/shorefall/LSTAR-EN.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Установка

Скрипты можно скачать с GitHub:

git clone https://github.com/shorefall/LSTAR-EN

Далее заходим в наш клиент Cobalt Strike и открываем Менеджер скриптов (Script Manager).

Pack Scripts для Cobalt Strike - 1

Импортируем файл LSTAR.cna.

Pack Scripts для Cobalt Strike - 2

Теперь в контекстном меню нашего бикона мы можем использовать данный скрипт.

Pack Scripts для Cobalt Strike - 3

Обзор возможностей

Перечислим основные модули, входящие в набор скриптов:

  • Information Gathering.

  • Intranet Scan.

  • Intranet penetration.

  • Privilege Escalation.

  • Credential acquisition.

  • RDP Related.

  • Lateral movement.

  • Trace removal.

  • Cloning_adding Users.

  • Misc Desktop Control.

Рассмотрим на примерах некоторые из них:

  • Название используемого антивирусного решения скомпромитированном хосте.

Pack Scripts для Cobalt Strike - 4
Pack Scripts для Cobalt Strike - 5
  • Отключение и включение RDP-сервиса.

Pack Scripts для Cobalt Strike - 6

Проверяем порт и видим, что он закрыт:

Pack Scripts для Cobalt Strike - 7

Теперь пробуем включить службу RDP через RDP RelatedTurn on RDP service и проверяем с помощью nmap:

Pack Scripts для Cobalt Strike - 8
  • Создание локального пользователя (с целью одного из вариантов закрепления на скомпрометированном хосте).

Нажимаем PersistenceSharpShadowUser

Pack Scripts для Cobalt Strike - 9

Как видим, у нас создаелся пользователь.

Pack Scripts для Cobalt Strike - 10

Пробуем подключиться учетными данными, которые выдал бикон Cobalt Strike:

Pack Scripts для Cobalt Strike - 11
  • Повышение привилегий через BadPotato.

Pack Scripts для Cobalt Strike - 12

Вводим команду, которую необходимо выполнить:

Pack Scripts для Cobalt Strike - 13

Ниже представлен результат выполнения нашей команды через BadPotato:

Pack Scripts для Cobalt Strike - 14

Также можно запускать не только команды из cистемного инструментария, но и процессы, которые будут выполняться в контексте учетной записи nt authoritysystem.

  • Сканирование портов.

Для сканирования портов используется утилита fsan. fscan - это комплексный инструмент сканирования в сети, удобный для автоматического и всенаправленного сканирования пропущенных объектов. Он поддерживает сканирование портов, сканирование общих служб, ms17-010, пакетную запись открытого ключа Redis, оболочку восстановления запланированной задачи, чтение информации о сетевой карте Win, идентификацию веб-отпечатков пальцев, сканирование веб-уязвимостей, обнаружение netbios, идентификацию управления доменом и т.д.

Pack Scripts для Cobalt Strike - 15

Перед использованием необходимо сначала загрузить fscan на хост через Upload Fscan и запустить следующим образом:

Pack Scripts для Cobalt Strike - 16
  • Получение учетных данных из GPP (Настройки групповой политики).

GPP — это инструмент, который предоставляет администраторам некоторые расширенные возможности по настройке и управлению политикой учетных записей в сети домена Windows.

Pack Scripts для Cobalt Strike - 17
Pack Scripts для Cobalt Strike - 18

В данном примере нету пароля в групповых политиках. Также вы можете почитать о расшифровке пароля, если он есть, в этой статье: https://infosecwriteups.com/attacking-gpp-group-policy-preferences-credentials-active-directory-pentesting-16d9a65fa01a.

FakeLogonScreen — это утилита для имитации экрана входа в Windows с целью получения пароля пользователя. Введенный пароль проверяется в Active Directory или на локальном компьютере, чтобы убедиться в его правильности, а затем отображается на консоли или сохраняется на диске.

Полезность этой утилитой высока так как ее используют многие Red Team команд.

Pack Scripts для Cobalt Strike - 19
Pack Scripts для Cobalt Strike - 20
  • Использование PowerView.

Powerview - это PowerShell-скрипт, необходимый для сбора информации в домене Active Directory.

Перед его использованием в рамках скрипта LSTAR сначала необходимо загрузить его на хост, а потом импортировать:

Pack Scripts для Cobalt Strike - 21

Теперь мы можем, к примеру, запросить пользователей в домене:

Pack Scripts для Cobalt Strike - 22

В результате Cobalt Strike нам выдаст список следующих пользователей:

Pack Scripts для Cobalt Strike - 23

Заключение

В данной статье мы с Вами рассмотрели использование набора Agressor-скриптов LSTAR, которые облегчат Вам сбор информации и компрометацию активов при выполнении проектов по тестированию на проникновение.

Подписывайтесь на наш Telegram-канал https://t.me/giscyberteam

Автор: GorillaHacker

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js