Breaking

Friday, December 4, 2020

RedShell - Prompt perintah interaktif yang menjalankan perintah melalui proxychains dan secara otomatis mencatatnya di server tim Cobalt Strike

 Kang IT


RedShell - Prompt perintah interaktif yang menjalankan perintah melalui proxychains dan secara otomatis mencatatnya di server tim Cobalt Strike



Prompt perintah interaktif yang menjalankan perintah melalui proxychains dan secara otomatis mencatatnya di server tim Cobalt Strike .




Instalasi

RedShell berjalan pada Python 3. Ini juga membutuhkan klien Cobalt Strike yang diinstal pada sistem tempat ia berjalan.

Instal dependensi:

pip3 install -r requirements.txt

Instal proxychains-ng ( https://github.com/rofl0r/proxychains-ng ):

apt install proxychains4

Jadikan pembungkus agscript dapat dieksekusi:

chmod +x agscript.sh


Pemakaian

Mulai pendengar kaus kaki di suar di klien Cobalt Strike Anda.

Mulai RedShell:

$ python3 redshell.py 

____ _______ __ ____
/ __ \___ ____/ / ___// /_ ___ / / /
/ /_/ / _ \/ __ /\__ \/ __ \/ _ \/ / /
/ _, _/ __/ /_/ /___/ / / / / __/ / /
/_/ |_|\___/\__,_//____/_/ /_/\___/_/_/


RedShell>

Tampilkan bantuan:

RedShell> help

Documented commands (use 'help -v' for verbose/'help <topic>' for details):
===========================================================================
beacon_exec connect help pwd shell use_pivot
cd disconnect history quit show_pivots
config exit load_config set status

Atur opsi:

RedShell> set option VALUE


Menghubungkan ke Cobalt Strike

Setel opsi koneksi Cobalt Strike:

RedShell> set cs_host 127.0.0.1
RedShell> set cs_port 50050
RedShell> set cs_user somedude

Hubungkan ke server tim (Anda akan diminta memasukkan kata sandi server tim):

RedShell> connect 
Enter Cobalt Strike password:
Connecting...
╔═══════════════════════╤═══════════════════════════════════════════════════════╗
║ CS team server status │ Connected via somedude_redshell@127.0.0.1:50050 ║
╟───────────────────────┼───────────────────────────────────────────────────────╢
║ Socks port status │ Disconnected ║
╚═══════════════════════╧═══════════════════════════════════════════════════════╝

Atau muat dari file konfigurasi. Catatan: kata sandi server tim tidak dibaca dari file konfigurasi. Redshell akan meminta kata sandi server tim dan kemudian terhubung secara otomatis.

$ cat config.txt 
cs_host=127.0.0.1
cs_port=12345
cs_user=somedude
RedShell> load_config config.txt
Config applied:
╔════════════════════════════╤═══════════════════════════════════════════════════════╗
║ Redshell install directory │ /opt/redshell ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Proxychains config │ /opt/redshell/proxychains_redshell.conf ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS install directory │ /opt/cobaltstrike ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS team server │ 127.0.0.1 ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS team server port │ 50050 ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS user │ somedude_redshell ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Socks port │ ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Beacon PID │ ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Password │ ║
╚════════════════════════════╧═══════════════════════════════════════════════════════╝

Enter Cobalt Strike password:

╔═══════════════════════╤═══════════════════════════════════════════════════════╗
║ CS team server status │ Connected via somedude_redshell@127.0.0.1:50050 ║
╟───────────────────────┼───────────────────────────────────────────────────────╢
║ Socks port status │ Disconnected ║
╚═══════════════════════╧═══════════════════════════════════════════════════════╝

Tampilkan pivot proxy yang tersedia:

RedShell> show_pivots 
╔═════════════════════════════════════════════════════════════════════════════════════════════════════════════╗
║ ID Alive Socks Port PID User Computer Last ║
╠═════════════════════════════════════════════════════════════════════════════════════════════════════════════╣
║ 1 True 22200 8948 Administrator * WS02 16ms ║
╟─────────────────────────────────────────────────────────────────────────────────────────────────────────────╢
║ 2 True 54212 7224 Administrator * WS03 39ms ║
╚═════════════════════════════════════════════════════════════════════════════════════════════════════════════╝

Pilih pivot proxy (catatan: ini hanya dapat disetel setelah koneksi ke server tim dibuat):

RedShell> use_pivot 2

╔═══════════════════════╤════════════════════════════════════════════════════════════╗
║ CS team server status │ Connected via somedude_redshell@127.0.0.1:50050 ║
╟───────────────────────┼────────────────────────────────────────────────────────────╢
║ Socks port status │ Connected via socks port 54212 @ beacon PID 7224 ║
╚═══════════════════════╧════════════════════════════════════════════════════════════╝

Periksa config

RedShell> config 

╔════════════════════════════╤═══════════════════════════════════════════════════════╗
║ Redshell install directory │ /opt/redshell ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Proxychains config │ /opt/redshell/proxychains_redshell.conf ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS install directory │ /opt/cobaltstrike ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS team server │ 127.0.0.1 ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS team server port │ 50050 ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ CS user │ somedude_redshell ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Socks port │ ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Beacon PID │ ║
╟────────────────────────────┼───────────────────────────────────────────────────────╢
║ Password │ ║
╚════════════════════════════╧═══════════════════════════════════════════════════════╝

Periksa status:

RedShell> status

╔═══════════════════════╤════════════════════════════════════════════════════════════╗
║ CS team server status │ Connected via somedude_redshell@127.0.0.1:50050 ║
╟───────────────────────┼────────────────────────────────────────────────────────────╢
║ Socks port status │ Connected via socks port 54212 @ beacon PID 7224 ║
╚═══════════════════════╧════════════════════════════════════════════════════════════╝

Jalankan perintah melalui proxy kaus kaki suar. Ini dapat dijalankan dalam konteks pengguna saat ini atau melalui sudo. Menentukan 'proxychains' dalam perintah bersifat opsional. Perintah dipaksa melalui proxychains. ID Taktik MITER ATT & CK bersifat opsional. Termasuk

RedShell> beacon_exec -h
usage: beacon_exec [-h] [-t TTP] ...

Execute a command through proxychains/beacon socks proxy and simultaneously log it to the teamserver.

positional arguments:
command Command to execute through the proxy.

optional arguments:
-h, --help show this help message and exit
-t TTP, --ttp TTP MITRE ATT&CK Tactic IDs. Comma delimited to specify multiple.

example:
beacon_exec -t T1003,T1075 cme smb --local-auth -u Administrator -H C713B1D611657D0687A568122193F230 --sam 192.168.1.1
RedShell> beacon_exec cme smb 192.168.1.14
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.14
[proxychains] Strict chain ... 127.0.0.1:48199 ... 192.168.1.14:445 ... OK
[proxychains] Strict chain ... 127.0.0.1:48199 ... 192.168.1.14:135 ... OK
[proxychains] Strict chain ... 127.0.0.1:48199 ... 192.168.1.14:445 ... OK
SMB 192.168.1.14 445 TESTNET-DC1 [*] Windows Server 2008 R2 Standard 7601 Service Pack 1 x64 (name:TESTNET-DC1) (domain:TESTNET) (signing:True) (SMBv1:True)

Catatan tentang sandi yang digunakan dalam perintah beacon_exec - karakter khusus dalam sandi dapat diartikan sebagai karakter meta shell, yang dapat menyebabkan kegagalan perintah. Untuk menyiasatinya, setel opsi kata sandi dan kemudian aktifkan dengan '$ password'. Contoh:

RedShell> set password Test12345
password - was: ''
now: 'Test12345'
RedShell> beacon_exec cme smb --local-auth -u administrator -p $password --shares 192.168.1.14

Catatan tentang opsi direktori penginstalan Redshell dan CS - skrip perlu tahu di mana ia berada, serta Cobalt Strike. Jika barang pecah, pastikan untuk mengatur direktori yang sesuai:

RedShell> set redshell_directory /opt/redshell
RedShell> set cs_directory /opt/cobaltstrike


Fitur Umum

RedShell menyertakan perintah untuk menavigasi sistem file:

RedShell> cd /opt/redshell/
RedShell> pwd
/opt/redshell

Perintah tambahan dapat dijalankan melalui perintah shell atau melalui '!' jalan pintas:

RedShell> shell date
Mon 29 Jul 2019 05:33:02 PM MDT
RedShell> !date
Mon 29 Jul 2019 05:33:03 PM MDT

Perintah dilacak dan dapat diakses melalui perintah sejarah:

RedShell> history 
1 load_config config.txt
2 status
3 help

RedShell juga mencakup penyelesaian tab dan membersihkan jendela terminal melalui ctrl + l.


Pemelihara





Regards

dr. Muhammad Sobri Maulana, S.Kom

No comments:

Post a Comment