Pack Scripts для Cobalt Strike
Введение
Дорогие подписчики, на нашем канале мы уже рассказывали что такое Aggressor-скрипты, также про их самостоятельное написание.
В этой статье хотим показать пример репозитория содержащий большое количество Aggressor-скриптов для Cobalt Strike, чтобы вы не тратили время на написание данного функционала.
Репозиторий со скриптами вы можете скачать по следующей ссылке https://github.com/shorefall/LSTAR-EN.
Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.
Установка
Скрипты можно скачать с GitHub:
git clone https://github.com/shorefall/LSTAR-EN
Далее заходим в наш клиент Cobalt Strike и открываем Менеджер скриптов (Script Manager).
Теперь в контекстном меню нашего бикона мы можем использовать данный скрипт.
Обзор возможностей
Перечислим основные модули, входящие в набор скриптов:
- Information Gathering.
- Intranet Scan.
- Intranet penetration.
- Privilege Escalation.
- Credential acquisition.
- RDP Related.
- Lateral movement.
- Trace removal.
- Cloning_adding Users.
- Misc Desktop Control.
Рассмотрим на примерах некоторые из них:
Проверяем порт и видим, что он закрыт:
Теперь пробуем включить службу RDP через RDP Related → Turn on RDP service и проверяем с помощью nmap:
- Создание локального пользователя (с целью одного из вариантов закрепления на скомпрометированном хосте).
Нажимаем Persistence → SharpShadowUser
Как видим, у нас создаелся пользователь.
Пробуем подключиться учетными данными, которые выдал бикон Cobalt Strike:
Вводим команду, которую необходимо выполнить:
Ниже представлен результат выполнения нашей команды через BadPotato:
Также можно запускать не только команды из cистемного инструментария, но и процессы, которые будут выполняться в контексте учетной записи nt authority\system.
Для сканирования портов используется утилита fsan. fscan - это комплексный инструмент сканирования в сети, удобный для автоматического и всенаправленного сканирования пропущенных объектов. Он поддерживает сканирование портов, сканирование общих служб, ms17-010, пакетную запись открытого ключа Redis, оболочку восстановления запланированной задачи, чтение информации о сетевой карте Win, идентификацию веб-отпечатков пальцев, сканирование веб-уязвимостей, обнаружение netbios, идентификацию управления доменом и т.д.
Перед использованием необходимо сначала загрузить fscan на хост через Upload Fscan и запустить следующим образом:
GPP — это инструмент, который предоставляет администраторам некоторые расширенные возможности по настройке и управлению политикой учетных записей в сети домена Windows.
В данном примере нету пароля в групповых политиках. Также вы можете почитать о расшифровке пароля, если он есть, в этой статье: https://infosecwriteups.com/attacking-gpp-group-policy-preferences-credentials-active-directory-pentesting-16d9a65fa01a.
- Получение пароля в открытом виде с помощью https://github.com/bitsadmin/fakelogonscreen
FakeLogonScreen — это утилита для имитации экрана входа в Windows с целью получения пароля пользователя. Введенный пароль проверяется в Active Directory или на локальном компьютере, чтобы убедиться в его правильности, а затем отображается на консоли или сохраняется на диске.
Полезность этой утилитой высока так как ее используют многие Red Team команд.
Powerview - это PowerShell-скрипт, необходимый для сбора информации в домене Active Directory.
Перед его использованием в рамках скрипта LSTAR сначала необходимо загрузить его на хост, а потом импортировать:
Теперь мы можем, к примеру, запросить пользователей в домене:
В результате Cobalt Strike нам выдаст список следующих пользователей:
Заключение
В данной статье мы с Вами рассмотрели использование набора Agressor-скриптов LSTAR, которые облегчат Вам сбор информации и компрометацию активов при выполнении проектов по тестированию на проникновение.