前几天,在freebuf上就发表了新的Cobalt strike,提权利器Cobalt Strike发布3.6版本,介绍什么的就不多说,我们试着利用Cobalt strike进行钓鱼邮件的制作及发送。

0×01 利用Cobalt strike制作一个word宏病毒

首先我们需要制作一个word宏病毒来进行远控操作。在Cobalt strike中,需要新建一个监听程序来进行监听,如下图:

Image

然后点击attacks -> packages -> ms office macro,如下图所示:

屏幕快照 2017-01-10 下午2.04.45.png

选择前面所创建的listener,如下:

屏幕快照 2017-01-10 下午2.16.17.png

屏幕快照 2017-01-10 下午2.17.11.png

复制宏内容,然后打开一个word文档,添加宏,记得添加的地方不能有误,添加宏的位置在 视图 -> 宏。创建宏以后添加代码是在project中,这点不能搞错,如下图。

图片 1.png

添加完成以后,只需要保存为启用宏的word就可以了,这样就制作为一个word宏病毒文件。

这样就可以发送了,但是为了提高钓鱼的成功率,可以再进行一个钓鱼网页的制作。

0×02 利用Cobalt strike克隆网站 

制作钓鱼页面的主要目的就是让受害者输入账号密码,从而攻击者得到该账号密码。

依次点击attacks -> web drive-by -> clone site ,如下图所示。

屏幕快照 2017-01-10 下午3.21.37.png

Image

clone url填写需要克隆网站的url后面填写本地就可以,在真实的渗透中,应当是拿下一台二级域名的站,然后进行挂链接.

然后访问该网站就搭建成功。

屏幕快照 2017-01-10 下午3.36.17.png

现在钓鱼链接我们有了,word木马也有了,我们就可以发送钓鱼邮件了,Cobalt strike也集成了钓鱼邮件发送的功能。

0×03 利用Cobalt strike发送钓鱼邮件

利用前面步下的路,我们就可以进行钓鱼邮件的发送,这也是非常简单的。该功能在attacks -> spear phish 点开以后如下:

屏幕快照 2017-01-10 下午3.50.38.png

targets是要发送邮箱地址的文件,比如:

admin@admin.com

test@admin.com

template是要发送邮件的模板,这个可以在个人邮箱中导出一个即可。

attachment放入我们搞好的word

embed url填写搭建好的网站,然后配置好mailserver,bounce to 是模仿发件人,自己添写即可,然后就可以愉快的发送钓鱼邮件啦~

0×04 总结

个人觉得,该软件是一款非常棒的工具,而且可以协同工作,使用好有非常大的攻击能力,而且生成的payload可以过一部分杀毒软件。

有什么问题可以继续讨论~

*本文原创作者:rj00