1)Cobalt Strike是什么?
Cobalt Strike(简称CS)是一款专业的团队作战渗透测试工具,包含客户端和服务端两个部分。它的主要功能是在已经取得攻击目标控制权后,用于持久化、横向移动、流量隐藏以及数据窃取等操作。
当在目标主机上成功执行了 CS 的 payload(有效载荷/攻击模块/攻击方式)时,它会创建一个 Beacon,即远程控制木马,通过与 C2 服务器建立连接,使攻击者能够远程控制被攻击主机并且获取所需信息。 C2 是 Command & Control server 的缩写,也就是命令与控制服务器,是被攻击主机与攻击者之间通信的中心节点。攻击者可以通过 C2 服务器下发指令、接收反馈并控制被攻击主机的行为,实现渗透测试等各种目的。
adscript:拓展应用的脚本。 c2lint:用于检查 profile 的错误异常。 teamserver:Cobalt Strike 的服务端程序,用于在被攻击目标的主机上运行,提供指令并控制被攻击主机。 cobaltstrike、cobaltstrike.jar:Cobalt Strike 的客户端程序,采用Java跨平台,用于与服务端程序通信和交互,完成渗透测试任务。 logs:记录与国标主机相关信息的目录,对渗透测试过程中的追踪和分析非常有帮助。 update.jar:用于更新 Cobalt Strike 的工具。 csthird-party:存放第三方工具的目录。 最核心的是 teamserver 和 cobaltstrike.jar,分别代表了 Cobalt Strike 的服务端和客户端。服务端用于控制被攻击主机,而客户端用于与服务端通信和执行渗透测试任务。其他工具和文件都是为了辅助和增强 Cobalt Strike 的功能。请记住,在使用 Cobalt Strike 进行渗透测试时,务必遵守法律法规,并获得合法授权。
目前常用的版本为Cobalt Strike4.8。下载链接:CS4.8.zip官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘
解压下来有2个文件夹,Client为客户端,Server为服务端。
2)kali安装cobaltstrike
使用xftp软件上传CS4.8文件夹至kali系统root目录。
上传完成后,打开,发现有Client(客户端)和Server(服务端)两个文件夹。
在 cs4.8目录下新建终端,然后运行服务端teamserver
在 cs4.8/Client目录下新建终端,运行客户端程序
在cs4.8/Client目录下,右键单击“在这里打开终端”
进入如下界面,输入命令./Cobalt_Strike_CN.bat (如提示权限不够,则执行chmod +x Cobalt Strike CN.bat 对该文件进行提权赋予可执行权限,然后再重新执行前面命令)。
新建配置文件,连接CS服务器
1对应前面服务端设置的kali本机的IP 10.0.0.10
2对应前面服务端显示的端口号50080(默认是50050)
3对应前面服务端设置的密码test
4单击“connect”,进入CS客户端。
工具栏图标:
-
链接到另外一个团队服务器:在网络渗透测试和攻击中,攻击者可能需要与其他团队服务器建立连接以获取进一步访问权限。
-
断开与当前团队服务器连接:在网络渗透测试和攻击中,攻击者可能需要断开与目标服务器的连接以避免被发现。
-
创建和编辑CS的监听器:在网络渗透测试和攻击中,攻击者可能会设置监听器以捕获目标系统上的流量或访问凭据。
-
以图形式展开会话:在图形视图中显示会话。
-
以列表形式展开会话:在网络渗透测试和攻击中,攻击者可能会使用会话列表来管理已经建立的会话。
-
以列表形式展开目标:在网络渗透测试和攻击中,攻击者可能会使用目标列表来管理攻击目标。
-
管理web站点:管理网络服务器。
-
密码凭证:查看凭据。
-
已下载文件列表:在网络渗透测试和攻击中,攻击者可能会尝试下载目标系统上的文件以获取敏感信息。
-
键盘记录:查看键盘记录。
-
查看屏幕截图:在网络渗透测试和攻击中,攻击者可能会使用屏幕截图来获取目标系统上的敏感信息。
3)Cobaltstrike简介- 监听器 Listener
1)内部 beacon
与外部beacon类似,内部beacon是指潜伏在目标系统内部的小型程序或代码片段,定期与命令和控制(C2)服务器进行通信,以提供有关目标系统的信息或接收进一步的指令。内部beacon主要用于网络安全领域中进行威胁侦测和入侵检测。
Beacon DNS:Beacon DNS是指通过DNS协议进行通信的beacon。攻击者可以使用DNS流量来与受感染系统进行通信,并通过DNS查询和响应中隐藏恶意指令或数据。
Beacon HTTP:Beacon HTTP是指通过HTTP协议进行通信的beacon。攻击者可以利用HTTP流量与受感染系统进行通信,并通过HTTP请求和响应中传递恶意指令或数据。
Beacon HTTPS:Beacon HTTPS是指通过HTTPS协议进行通信的beacon。类似于Beacon HTTP,攻击者使用加密的HTTPS流量与受感染系统进行通信,以隐藏恶意活动并绕过网络安全设备的检测。
Beacon SMB:Beacon SMB是指通过Server Message Block(SMB)协议进行通信的beacon。SMB协议常用于Windows网络共享和文件传输,攻击者可以利用SMB流量与受感染系统进行通信,并通过SMB命令和响应传递恶意指令或数据。
Beacon TCP:Beacon TCP是指通过TCP协议进行通信的beacon。攻击者可以使用TCP流量与受感染系统进行通信,并在TCP连接中传递恶意指令或数据。
2)外部 beacon [与其他工具联合使用时会用到]
在网络安全领域中指潜伏在目标系统中的小型程序或代码片段,定期与命令和控制(C2)服务器进行通信,以提供有关目标系统的信息或接收进一步的指令。外部beacon表示这个beacon程序与目标系统之外的其他工具或系统进行联合使用。
Foreign HTTP:使用HTTP协议进行跨域通信。在网络安全领域中,攻击者可能会利用HTTP流量与受感染系统进行通信,以绕过网络安全设备的检测,并通过正常的HTTP流量传输被窃取的数据。
Foreign HTTPS:使用HTTPS协议进行跨域通信。HTTPS是一种加密的HTTP协议,通过使用SSL/TLS加密技术来保护数据的机密性和完整性。攻击者可能使用HTTPS流量与受感染系统进行通信,以隐藏恶意活动并绕过网络安全设备的检测。
打开监听器配置
创建一个新的监听器 -> 填写监听器名称(随便写,不重复就行)-> 选择有效载荷/攻击模块/攻击方式
1,Name:此处可以随便填写一个监听名称。
2,Payload:此处选择Beacon HTTP。
3,HTTP Hosts:此处填写开启CS服务端的IP地址,本机填写的是kali机器的IP。
4,点击“确定”,完成HTTP Hosts设置。
5,HTTP Host (Stager):此处填写同第3标记HTTP Hosts。
6,HTTP Port (C2):此处填写一个非其他应用程序常用的端口。
7,点击“Save”完成监听设置。
4)Cobaltstrike简介 - 生成木马(有效载荷P)
选择”Windows可执行程序(E)”
1,x64:此处勾选复选框,生成的木马仅在64位操作系统上执行。不勾选则在32位、64位操作系统上均可执行。
1,此处可选择木马存放位置。
2,可以修改木马名称。
3,点击“保存”后即成功生成木马(本机的木马名称修改为test_01,存放在默认位置root目录下)。
5)Cobaltstrike简介 - 启动木马
木马上传给虚拟机win2003,双击test_01.exe,此时木马启动,可通过kali机CS客户端监听并进行远程控制。
1,将60修改为0。
2,单击“确定”完成回连间隔设置。
此时即可通过CS客户端对宿主机进行诸如提权、权限维持、端口扫描、抓取明文密码、vnc桌面交互、文件浏览等一系列攻击性操作。对应详细介绍见下一期介绍。
扫一扫
2441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
