CobaltStrike
CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CobaltStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe 木马生成,windows dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等强大的功能!
官网:https://www.cobaltstrike.com
环境配置
云主机
- CentOS 7.6 64bit
安装
安装java环境
安装
yum install -y java-1.8.0-openjdk*
查看java版本
java -version
上传CobaltStrike包到服务器
CobaltStrike4.0资源下载
上传到服务器
进入CobaltStrike_4.0目录,为"agscript"、“c2lint”、"peclone"和"teamserver"文件赋予执行权限。
#进入cs目录,这里我改了文件名原资源包不是这个文件名
cd cobaltstrike4.0/
#查看
ls -l
#赋予权限
chmod a+x agscript
chmod a+x c2lint
chmod a+x peclone
chmod a+x teamserver
启动服务端
终端运行
./teamserver 192.168.80.137 123456
#192.168.10.11 电脑的ip地址/如果是云主机就填公网ip,123456是密码
后台运行
#关闭终端依然运行,这里使用nohub 命令 & (也可以使用screen,不过需要安装一下screen)
nohup ./teamserver 192.168.10.11 123456 &
服务器防火墙开放端口
CobaltStrike默认端口是50050,这里我修改为6000,仅做演示。
启动客户端
本地windows连接(也需要有java环境)
直接点击start.bat启动即可
连接上会确认指纹
到这里,基本的安装已经完成、下一步就是继续学习CS操作运用。
CobalStrike特征修改
这里是本地虚拟机环境,仅做演示。
CS默认端口修改
服务端⽂件teamserver内修改,找到server_port 将50050 改为其他端口,即可。
vi teamserver
比如改为6000
java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=6000 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar server.TeamServer $*
CS指纹https特征证书修改
服务端⽂件teamserver内,找到
keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"
修改(值任意)
keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias YINGZOU -dname "CN=YINGZOU, OU=CH, O=LI, L=YINGZOU, S=LI, C=US"
⽣成新的证书之后将原来证书删除,放到CS根⽬录,并且我们需要启⽤证书。
keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12
查看证书,需要密码,密码为123456(忘记密码可以在teamserver查看 -storepass的值)
keytool -list -v -keystore cobaltstrike.store