Немного данных

Cobaltstrike - аналог Armitage, но платный (3500$), прогрессивнее и намного круче.
Cодержит несколько дополнительных эксплоитов под Java и MS Office и MS Excel, имеется поддержка командной работы

Обсуждение на одном из форумов
https://underc0de.org/foro/hacking/cobalt-strike-3-0-la-herramienta-de-post-explotacion/

видео

У меня возникает такая проблема



Собственно в чем может быть проблема? Armitage стартует без проблем

Присоединяюсь к вопросу, такая же проблема...

оно тоже на яве написано ?

kuklofon сказал(а):

оно тоже на яве написано ?



Да. И никакой доп информации нет. Только эта (под спойлером)

Если у кого есть возможность - затестите.

ПС у меня
uname -a
Linux parrot 4.7.0-parrot-amd64 #1 SMP Parrot 4.7.6-1parrot0 (2016-10-21) x86_64 GNU/Linux

java -version
java version "1.8.0_111"
Java(TM) SE Runtime Environment (build 1.8.0_111-b14)
Java HotSpot(TM) 64-Bit Server VM (build 25.111-b14, mixed mode)

В файле teamserver есть строчка java -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+UseParallelGC -jar cobaltstrike.jar --server $1 55554 msf $2 55553
Вот на ней он и спотыкается.

Запуск руками msf и вот такие ошибки при подключении.

2 link removed - вполне возможно, тем более я не знаю что за версия у меня, так как скатал ее не с оф.сайта, а крякнутую с файлообменника.

Olej сказал(а):

2. нужно брать не с крякнутых файлообменников,



Не уточнил - тут речь шла о CobaltStrike
Java с офа.
Благодарю за ответ, он более точно отражает суть возможной проблемы.

Olej сказал(а):

Этот способ (через alternatives) очень современный, правильный ... в отличие от всяких игрищ с инициализационными скриптами и PATH.



Меня тут другая история смущает - что мы получим в итоге в системе? Две версии Java ? Как это отразится на других приложениях. Или так же как python и python3?

Но в тоже время

Cobalt Strike requires the following software:Oracle's Java 1.7 or later.
Ветка 1.7 или по нарастающей цифре?
ок. попробуем update-java-alternatives --jre -s java-1.7.0-openjdk-amd64

Olej сказал(а):

Попробовать вы можете, но для этого вы должны ранее установить JDK 1.7 (мешать оно вам не будет, даже при ненадобности ... разве что место займёт).



1)
#apt-get install oracle-java7-installer <---- так как

update-alternatives: используется /usr/lib/jvm/java-7-oracle/jre/bin/java_vm для предоставления /usr/bin/java_vm (java_vm) в автоматическом режиме
update-binfmts: warning: current package is oracle-java8, but binary format already installed by openjdk-8
Oracle JDK 7 installed
Oracle JRE 7 browser plugin installed
W: APT had planned for dpkg to do more than it reported back (0 vs 4).
Affected packages: oracle-java7-installer:amd64

2)
#update-java-alternatives --jre -s java-1.7.0-openjdk-amd64
update-java-alternatives: directory does not exist: /usr/lib/jvm/java-1.7.0-openjdk-amd64

Или надо слить с оф.сайта?

Olej сказал(а):

Код:



$ update-alternatives --display jdk
...
$ update-alternatives --list jdk
...



Однако:

#update-alternatives --display jdk
update-alternatives: ошибка: нет альтернатив для jdk
#update-alternatives --list jdk
update-alternatives: ошибка: нет альтернатив для jdk

Olej сказал(а):

Последнее для вас только-что скопировал с Kali Linux.


update-alternatives --all
Есть только одна альтернатива в группе ссылок alembic (предоставляющая /usr/bin/alembic): /usr/bin/python2-alembic
Настраивать нечего.
Есть только одна альтернатива в группе ссылок animate (предоставляющая /usr/bin/animate): /usr/bin/animate-im6.q16
Настраивать нечего.
Есть только одна альтернатива в группе ссылок animate-im6 (предоставляющая /usr/bin/animate-im6): /usr/bin/animate-im6.q16
Настраивать нечего.
Есть 3 варианта для альтернативы appletviewer (предоставляет /usr/bin/appletviewer).

Выбор Путь Приор Состояние
------------------------------------------------------------
0 /usr/lib/jvm/java-7-oracle/bin/appletviewer 1082 автоматический режим
1 /usr/lib/jvm/java-7-oracle/bin/appletviewer 1082 ручной режим
2 /usr/lib/jvm/java-8-openjdk-amd64/bin/appletviewer 1081 ручной режим
* 3 /usr/lib/jvm/java-8-oracle/bin/appletviewer 1081 ручной режим

update-alternatives --list java
/usr/lib/jvm/java-7-oracle/jre/bin/java
/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java
/usr/lib/jvm/java-8-oracle/jre/bin/java

окей

сменил

Выбор Путь Приор Состояние
------------------------------------------------------------
* 0 /usr/lib/jvm/java-7-oracle/bin/appletviewer 1082 автоматический режим
1 /usr/lib/jvm/java-7-oracle/bin/appletviewer 1082 ручной режим
2 /usr/lib/jvm/java-8-openjdk-amd64/bin/appletviewer 1081 ручной режим
3 /usr/lib/jvm/java-8-oracle/bin/appletviewer 1081 ручной режим

не успешно
Так, читаю про альтернативу и смену java, ощущаю глубокий пробел в этой области....

имеет смысл попробовать поиграться с версиями msgpack, начать можно с той версии, которая используется в Armitage, раз этот самый Armitage стартует

собственно в Armitage таким образом и пофиксили
https://github.com/rsmudge/armitage/issues/184

Рабоча версия кобальта есть, но триал 21. Вопрос решаемый. Раздача идет на одном из ресурсов с другими утилитами в комплекте. Ссылка на скачку ниже. Архив НЕ МОЙ.

[HIDE=80]https://mega.nz/#F!FgBxkJaY!5twvwjAh9KN354Yt-arroQ
пароль на архив ниже
[HIDE=80]123123

DoberGroup сказал(а):

Ссылка на взломаный умерла



Пробуйте который последний линк, ломанный счлишком старый, он с ошибками.




smashQ сказал(а):

на какой машине запущен ваш сервер - на локальной или VPS? Обслуживаете ли вы домены? Стоит ли у вас панель управления сервером (Control panel)?



Все старутет на локалке. И ошибка, которая там была в начале темы видимо результат версии от 2014 года, которая была еще кривая, требовала особой доработки. Свежая версия проблем не вызывает.

ghostphisher сказал(а):

Рабоча версия кобальта есть, но триал 21. Вопрос решаемый. Раздача идет на одном из ресурсов с другими утилитами в комплекте. Ссылка на скачку ниже. Архив НЕ МОЙ.

***Скрытый текст***
пароль на архив ниже
***Скрытый текст***


Триал хекается легко...

Если что - пересниму видос специально для кодебай...

DoberGroup сказал(а):

О чем уже 3 года написано в официальном блоге. Вместе с намеком на то, с какими подарками идут обычно крекнутые версии


Ну нам тоже кричат с какими подарками идут крякнутые версии лицензий софта и как опасно пираты Тут дело каждого.

~~DarkNode~~ сказал(а):

Триал хекается легко...***Скрытый текст***
Если что - пересниму видос специально для кодебай...


Возник вопрос , как скачать образ с официального сайта ( без регистрации) ?

DoberGroup сказал(а):

Чем мешает вариант зарегистрироваться? Там, кстати, при регистрации еще и ограничения написаны - кому можно качать, а кому нет. Это подсказака, если что
Кстати, раз уже зашел разговор о триале...
Ограничение на 21 день - сознательно оставлено с таким механизмом, что бы его мог обойти любой, кто хоть немного знаком с java. Ну, по крайней мере, у меня сложилось такое впечатление из чтения официального блога и твитера разработчиков.
На самом деле ограничение бесплатной версии достаточно серьезные:

Отсутствие крипторов (их действительно нет в комплекте).
Добавка EICAR-последовательностей в пейлоады (все антивирусы - ваши) Теоритически можно обойти, но я не пробовал.
Добавка EICAR-заголовков типа X-Malware в GET-запросы (точно можно обойти, поискать в файлах этот заголовок, заменить)
Отсутствие шифрования в протоколе взаимодействия сервер/клиент. Решается тупо VPNом


Ну в метасплоите легко делаеться ссл шифрование трафика.Тут не пробовал.Но думаю так же должно присутствовать.

DoberGroup сказал(а):

Чем мешает вариант зарегистрироваться? Там, кстати, при регистрации еще и ограничения написаны - кому можно качать, а кому нет. Это подсказака, если что
Кстати, раз уже зашел разговор о триале...
Ограничение на 21 день - сознательно оставлено с таким механизмом, что бы его мог обойти любой, кто хоть немного знаком с java. Ну, по крайней мере, у меня сложилось такое впечатление из чтения официального блога и твитера разработчиков.
На самом деле ограничение бесплатной версии достаточно серьезные:

Отсутствие крипторов (их действительно нет в комплекте).
Добавка EICAR-последовательностей в пейлоады (все антивирусы - ваши) Теоритически можно обойти, но я не пробовал.
Добавка EICAR-заголовков типа X-Malware в GET-запросы (точно можно обойти, поискать в файлах этот заголовок, заменить)
Отсутствие шифрования в протоколе взаимодействия сервер/клиент. Решается тупо VPNом


Спасибо,с данным вопросом разобрался . Там не нужно никакой регистрации .там вообще ничего не нужно (улыбнуло), достаточно одного браузера opera.

Люди,подскажите актуальный способ ,как скачать cobalt strike с официального сайта ?Предыдущие способы больше не прокатывают : opera vpn, vpn, ultrasurf, с регистрацией тоже проблемы (не принимает email -пишет что то про бесплатную почту) .

thunder сказал(а):

не принимает email -пишет что то про бесплатную почту .


Точнее,скорее всего,одноразовую.Надо убедить их в новой личности,почту сделать актуальной (только не спрашивайте,как сделать нормальную почту без номеров и т.д.) Подменить браузер,IP (не торовский),отпечаток сам .Vpn сойдёт вполне ,тот же ресурс hide.me тоже подойдёт для скачивания trial-версии.

Попытался крякнуть лицуху как на видио в итоге : The Parallel GC can not be combined with -XXarallelGCThreads=0 ...? типо ошибка мусоро борщика.. как исправить подскажите пожалуйста)

в чем плюсы этого фреймворка?

www.blackhatsec.org

есть там кобальт и много чего еще интересного !))

Ondrik8 сказал(а):

www.blackhatsec.org

есть там кобальт и много чего еще интересного !))


Спасибо за наводку (посмотрю что за os).Я так понимаю данная os платная ? А ,что с активацией кобальт ?
В каком именно дистрибутиве (так их конь на... www.blackhatsec.org) есть кобальт ?

thunder сказал(а):

Спасибо за наводку (посмотрю что за os).Я так понимаю данная os платная ? А ,что с активацией кобальт ?
В каком именно дистрибутиве (так их конь на... www.blackhatsec.org) есть кобальт ?


По моему здесь) http://www.blackhatsec.org/?p=3133

remez сказал(а):

Если вы недавно обновили среду тестирования проникновения, возможно, вас встретили с особым сюрпризом.
Cobalt Strike и его сервер команды больше не будут запускаться.
Вместо Cobalt Strike вас приветствует эта очень интуитивная и полезная ошибка:
Parallel GC нельзя комбинировать с -XX: ParallelGCThreads = 0

Это известная ошибка в Java 1.8u131.
Это последнее обновление для Oracle Java представляет собой изменение, которое нарушает параметр командной строки
-XX: + AggressiveHeap, используемый Cobalt Strike.
Команда Java знает об этой ошибке и имеет уровень приоритета 2.
Это уровень, зарезервированный для сбоев, потерь данных и серьезных утечек памяти.
Они воспринимают это всерьез, и я ожидаю, что эта проблема исчезнет в ближайшем обновлении Java.
В Linux одним из способов обойти эту ошибку Oracle Java является обновление сценариев кобальта и команд серверов,
чтобы указать параметр -XX: ParallelGCThreads = 8 после команды java.
Я советую вам держаться подальше от Oracle Java 1.8u131. Если вы уже обновили Java 1.8u131, перейдите на Java 1.8u121


Спасибо большое ! Как говорится "старый конь борозды не испортит! "Установил 1.8u121 ..полет отличный!

бли


remez сказал(а):

Я сам только начинаю изучать кобальт страйк. Пока изучаю скрипты.
Жалко что версия триальная, а не платная с кряком.

А что же ты сразу на платный кобальт не перенаправил? Помог называется, с одной платной тулзы на другую перевел. Красавец!


блин я не увидел что это чудо платное... извините что ввел Вас в заблуждение!
могу конпенсировать то есть помоч Вам установить кобальт на Вашу ОС

Ondrik8 сказал(а):

блин я не увидел что это чудо платное... извините что ввел Вас в заблуждение!
могу конпенсировать то есть помоч Вам установить кобальт на Вашу ОС


Могу помочь исправить "косяк": за добро плачу добром
И заодно компенсировать "подаренные" мне (и не только) 350 баков (помнишь, ты про Бурп писал?)
Короче, есть 2.0.4.10 и 3.0 крякнутые. Совместимы с Kali. 3.0 - с вечным триалом.
Тема - твоя, вот и выложишь сам.
Нужно - кину в личку.

Кто знает в чём может быть проблема?
root@kali:~/Desktop/cobaltstrike# ls
agscript cobaltstrike.jar readme.txt third-party
c2lint icon.jpg releasenotes.txt update
cobaltstrike license.pdf teamserver update.jar
root@kali:~/Desktop/cobaltstrike# ./cobaltstrike
bash: ./cobaltstrike: Permission denied
root@kali:~/Desktop/cobaltstrike#

pluscat сказал(а):

Господа в итоге у кого то есть нормальная рабочая версия Cobalt > 3.6, интересует именно рабочий teamsever? Кто готов поделится в ПМ пожалуйста щедро отблагодарю.

По поводу www.blackhatsec.org приобрел NetReaper 4.3 который на Debian как говорилось на форуме крякнутым кобальтом, уже второй день пытаюсь установить, на виртуалку ставится это не хочет, заставка в начале просит минимум 6гб оперативки или вылетает ладно проблема, сеть настроена через старые ноды тора, и должна подгружать какие то дополнения с их сайта либо откуда то еще сайт вечно лежит (последние 2 дня maintenance). В итогде добился загрузки полу работающего интерфейса без прорисовки и без интернета и дальнейшей возможности к установке. Как загрузочная флешка у меня она не как опознаваться не хочет... привода что бы записать болванку нет, кто то ставил и тестил эту OS вообще ?



В ПМ тебе писал время будет отпишись если можешь...

скачайте через впн-ку и "ломаните" (ой, про тестируйте на продление срока триала) её схем полно на ютубе

5.2 ;-)

Пользователь заблокирован на 24 часа: нарушение правил пункт 5.2

Ondrik8 сказал(а):

скачайте через впн-ку и "ломаните" (ой, про тестируйте на продление срока триала) её схем полно на ютубе

5.2 ;-)


была бы еще ссылка на загрузку )

---- Добавлено позже ----

Хакеры Cobalt украли более 1 млрд рублей у российских банков в 2017 г интересно они триал хекали или покупали кобальта.

При запуске cobaltstrike выскакивает ошибка

https://forum.antichat.xyz/attachments/4827717/1540112063909.png

Что это может быть? Кто сталкивался?

Air7771 сказал(а):

При запуске cobaltstrike выскакивает ошибка

Что это может быть? Кто сталкивался?


В Грей зайдите,писал там статью.Возможно не так запускаете.

Появилась версия 3.12

да, появилась.. еще в начале сего года!)) Но там обнаружили уязвимость в всех версиях и триал даже если его ломануть отстой он все равно урезанный)) нужен именно кряк, юзаю полет норм во всех смыслах, может такое что не один троянец не сможет, тулза не для всех, только для red-team не зря группировка "кобальт" ею столько банков ограбило)))

Ondrik8 сказал(а):

да, появилась.. еще в начале сего года!)) Но там обнаружили уязвимость в всех версиях и триал даже если его ломануть отстой он все равно урезанный)) нужен именно кряк, юзаю полет норм во всех смыслах, может такое что не один троянец не сможет, тулза не для всех, только для red-team не зря группировка "кобальт" ею столько банков ограбило)))


Привет! Мне не дашь поюзать кобальта.

бродит по сети))) кто захочет, тот найдет)))

R0ckNR0lla сказал(а):

бродит по сети))) кто захочет, тот найдет)))


Ну прям оригинальный ответ.Я об этом даже не догадывался.

cyber23 сказал(а):

Ну прям оригинальный ответ.Я об этом даже не догадывался.


тут выкладывать не буду. окромя что могу отдать админам для приватной зоны, пусть выложат там под хайд.

R0ckNR0lla сказал(а):

тут выкладывать не буду. окромя что могу отдать админам для приватной зоны, пусть выложат там под хайд.


лишним не будет ^^

Есть тут пентестеры с опытом чистки пейлоадов CobaltStrike от динамического детекта Windows Defender? Если есть тут такие спецы, прошу в ЛС.

возьми и отключи или удали Как отключить защитник Windows 10: подробная инструкция Windows Defender

cateslla сказал(а):

возьми и отключи или удали Как отключить защитник Windows 10: подробная инструкция Windows Defender


В большой сети Active Directory с урезанными правами его не отключишь ни по каким манам...

повысь права

Сплойты не бьют) Все обновлено

CobaltStrike поменяй и не парься, а также попробуй с другого компьютера и оси

cateslla сказал(а):

попробуй с другого компьютера и оси



Если это было возможным... я бы не стал тут спрашивать о методе обфускации пейлоада кобы)

Поэтому еще раз отпишу.

Есть ли тут пентестеры с опытом чистки пейлоадов CobaltStrike(желательно .ps1 webdelivery) от динамического детекта Windows Defender? Если есть тут такие спецы, прошу в ЛС

как решить данную проблему? пытаюсь установить кобальт на линукс

Код:



./teamserver 192.168.56.101 123456
zsh: no such file or directory: ./teamserver

wlan0mode сказал(а):

как решить данную проблему? пытаюсь установить кобальт на линукс

Код:



./teamserver 192.168.56.101 123456
zsh: no such file or directory: ./teamserver


пробуй с bash
и пробуйте запустить его из папки кобальта предварительно дав ему права chmod +x teamserver

wlan0mode сказал(а):

как решить данную проблему? пытаюсь установить кобальт на линукс

Код:



./teamserver 192.168.56.101 123456
zsh: no such file or directory: ./teamserver


Мб сначала Линуксом научиться пользоваться?
Написано же, что файла, который вы запустить пытаетесь, нет.

Pernat1y сказал(а):

Мб сначала Линуксом научиться пользоваться?
Написано же, что файла, который вы запустить пытаетесь, нет.


откуда взять этот файл?

wlan0mode сказал(а):

откуда взять этот файл?




https://www.youtube.com/user/DashnineMedia

RTFM

Ondrik8 сказал(а):

https://www.youtube.com/user/DashnineMedia

RTFM


я нашел этот файл в архиве от 3.14 версии в папке триал, если его просто перетащить в папку 4.3 то он заработает?

wlan0mode сказал(а):

как решить данную проблему? пытаюсь установить кобальт на линукс

Код:



./teamserver 192.168.56.101 123456
zsh: no such file or directory: ./teamserver


вот видос елки зеленый

Ваш браузер не может отобразить это видео.

мне казалось распаковав нужную версию того что ты дал то там всё будет но нет, пришлось другие версии копать... и еще момент, триал версия детектится windows defender и AVшками?

Да детектится

mcfly сказал(а):

вот видос елки зеленый

мне подсунули кривой архив, в нем не было нужных мне файлов, я пытался запустить 4.3 версию

mcfly сказал(а):

Да детектится


а есть крякнутая лицуха?

wlan0mode сказал(а):

а есть крякнутая лицуха?


нету

mcfly сказал(а):

нету


а через meterpreter можно вырубить defender и AV?

wlan0mode сказал(а):

а через meterpreter можно вырубить defender и AV?


можно но сам лично не пробовал не помню какой модуль в мете за это отвечает run и tab tab cам раскуривай https://codeby.net/media/meterpreter-dopolnitelnye-293-modulja-dlja-ehkspluatacii.162/

mcfly сказал(а):

нету


В интернетах ходит универсальный hook.jar, который совместим с последними лицензионными CS (с 4.2-4.3 точно работает).
Скидывать не буду - гуглите сами.
Defender можно обойти довольно простыми манипуляциями с Артифактом. Ральф в своих видео рассказывал, как это сделать.