VCS Passport Blue Team
  • VCS Passport 2024 : Blue Team
  • Server-Side Vulnerabilities
    • SQL Injection Writeup
    • Authentication Writeup
    • Access Control Writeup
    • Command Injection Writeup
    • Path Traversal Writeup
    • File Upload Vulnerabilities Writeup
    • Information Disclosure Writeup
  • Client-Side Vulnerabilities
    • Cross-site Scripting Writeup
  • Advanced Web Vulnerabilities
    • Insecure Deserialization Writeup
  • Code Punching
    • Bá
    • Đạt
    • Hải
    • Khiêm
    • Quân
    • Nam
  • Programing
    • Keylogger
    • Reverse Shell
    • Process Injection
    • Basic Process, Thread, HANDLE
    • Hook
  • LINUX PROGRAMING
    • Linux Internal
    • Keylogger & Ransomware
    • Hook & Inject
  • MALWARE ANALYSIS
    • Unpack
    • Finding Threat (Lab 21 - 24)
    • Malware Analysis
    • Finding Threat (Lab 01 - 20)
  • OJT
    • Cobalt Strike Lab
    • Shell
    • TTGS CTF
    • VCS Blue CTF Season 2
    • Process and Thread
    • Service
    • COM Hijack
    • OSCP
    • Active Directory
    • Log
    • Log Windows
    • Browser-C2
    • DllSideload
    • Purple Lab
  • Forensic Class HaiNH45
    • Week 1
    • Week 2
    • Week 3
Powered by GitBook
On this page
  1. OJT

Cobalt Strike Lab

On Job Training

PreviousFinding Threat (Lab 01 - 20)NextShell

Last updated 10 months ago

Ở Lab này, mình sử dụng 4 máy:

  • 1 VPS Ubuntu chạy Team Server của Cobalt Strike.

Note:

Malleable C2 Profiles: https://github.com/rsmudge/Malleable-C2-Profiles

Chạy server bằng lệnh:

./teamserver <ip server> <password> [/path/to/c2.profile] [YYYY-MM-DD]

  • 1 máy ảo Kali chạy Cobalt Strike Client.

  • 2 máy ảo Windows 10 ở trong một mạng nội bộ, có bật chia sẻ file qua SMB.

Kịch bản ở đây sẽ là ta chiếm được quyền điều khiển của 1 máy Windows 10, sau đó sử dụng nó như một proxy để tấn công máy Windows 10 còn lại mà không bị lộ IP của Attacker.

Đầu tiên, mình tạo một Listener trên Cobalt Strike, với giao thức là HTTP.

Tiếp theo mình sẽ tạo ra một payload exe độc hại để kích hoạt được reverse shell,

Ở đây mình sẽ giả sử một máy Windows 10 đã bị lừa bằng cách nào đó để có thể chạy file exe trên bằng quyền Admin. Khi đó, trên giao diện của Cobalt Strike Client, mình sẽ thấy như sau

Ở đây mình sẽ dùng kỹ thuật pivoting để làm máy này trở thành một cái proxy.

Ở đây mình sẽ sử dụng tool Proxychains để có thể sử dụng proxy mỗi khi gửi các gói tin. Mình thêm IP Team Server và Port vừa mở vào file /etc/proxychains4.conf:

Mình sẽ sử dụng smbexec để có thể chiếm quyền của máy Windows 10 còn lại thông qua giao thức SMB. Để có thể làm thế thì ban đầu mình phải có được mật khẩu hoặc NTLM hash của máy đó. Ở đây mình thử dump ra thông tin Logon bằng Mimikatz tích hợp sẵn trong Cobalt Strike ở máy Windows 10 mà mình đã chiếm được

Kịch bản ở đây là trong lúc 2 máy Windows này đang trong phiên kết nối SMB với nhau, khi đó khi mình dump Mimikatz, mình sẽ thấy có password ở dạng plaintext.

Sử dụng proxychains để chạy smbexec, mình thành công truy cập được vào cmd của máy còn lại từ máy Kali trong khi máy Kali không thể truy cập vào mạng nội bộ.

Ở máy Windows bị lateral movement, có thể thấy các gói tin tấn công đều có IP là 192.168.113.144 là của máy Windows bị chiếm, không hề lộ IP của máy Kali

Một số log thu được ở trong máy này cho thấy bị psexec:

Event ID 4624: Logon type 3 (đăng nhập từ xa qua mạng). Ở đây ta chỉ thấy IP của máy bị reverse shell (192.168.113.144), không có IP Kali hay Team Server.

Event ID 4672: User có quyền đặc biệt đăng nhập (SYSTEM).

Event ID 5140/5145: Truy cập vào vùng share.

Event ID 7045: Có service lạ được cài đặt.