Cobalt Strike

          Cobalt Strike,是一种用于渗透测试和红队行动的强大工具，由Raphael Mudge开发。它设计用于模拟和评估网络的安全性，允许安全专业人员模拟攻击者的行为，以发现潜在的安全漏洞。

基本功能

1. 攻击模块： Cobalt Strike包含了多个攻击模块，覆盖了渗透测试的各个方面，包括漏洞利用、凭证收集、横向移动、持久性、数据渗透和社会工程学等。

2. Beacon： Beacon是Cobalt Strike的核心模块，是一个轻量级的“受害者”代理。它提供了一个交互式Shell，使渗透测试人员能够在目标系统上执行命令、收集信息，并与控制服务器进行通信。Beacon具有灵活的通信协议，包括HTTP、DNS等，以绕过安全设备的检测。

3. 团队协作： Cobalt Strike支持多用户协同工作，允许红队成员共享信息、协同操作和有效地进行渗透测试。这有助于模拟多个攻击者在同一时间对目标进行操作。

4. 钓鱼攻击： 工具包括用于进行钓鱼攻击的模块，帮助评估目标用户的安全意识。这包括发送伪装成合法通信的恶意电子邮件，以引诱用户点击恶意链接或提供凭据。

5. 持久性访问： Cobalt Strike允许用户建立持久性访问点，确保长期对目标系统的访问权限。这包括在目标系统上植入后门，使攻击者能够在需要时再次访问系统。

6. 报告和日志： 工具提供详细的报告和日志功能，记录执行的所有操作和结果，以便于分析、审计和报告。

7. 模拟高级威胁： Cobalt Strike的设计目标之一是模拟高级持久性威胁（APT）行为。通过使用工具的各种功能，渗透测试人员可以模拟实际攻击者的技术和手法

基本使用

下载地址

https://www.cobaltstrike.com/

1.开启服务端

sudo ./teamserver  (需要给足够的权限)

 生成证书 保证服务端与客户端通信的安全性

 <>代表必选项   []代表非必选项

./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]

<host>                    :   主机（ip）地址

<password>           :    密码

[/path/to/c2.profile] :    配置文件 cs默认使用50050端口

[YYYY-MM-DD]      :    木马失效时间

根据提示要求启动 cs服务端

2.客户端 

Alias           :  别名

host            : 服务器地址

port             : 服务器端口

User            : 昵称（团队配合 自起昵称）

Password   : 服务端配置的密码

 点击connect 检查与服务端公钥是否一致，点击是

登陆成功

上线方式

生成exe木马上线

新建一个监听

点击添加

 

配置完之后点击save 启动监听

 点击payloads 生成一个有阶段木马

 选择刚布置好的监听器 生成

只需要将木马传到受害者主机上  双击运行它 就会自动上线cobalt strike（可通信的情况下）

右键点击interact 自动进入 beacon模块

 在下方输入？ 就可以看到我们能够执行的命令字

例如 shell ipconfig 即可查看受害者主机的TCP/IP配置的设置值

 查看受害者桌面

宏病毒

payloads— MS Office Macro 生成office宏病毒文件

 根据提示将宏病毒添加到word文档里 

点击copy macro 将宏病毒代码复制粘贴到一个新建的宏里面

 当受害者通过打开添加了宏病毒的word文档时 就会自动上线cobale strike了

 

 powershell

该能供可以生成一个无阶段的Beacon

选择监听器 点击launch

 

 生成的powershell木马

 

 该木马可以直接在目标机器的cmd输入 

 当输入确定之后会直接上线cs（以虚拟机尝试）

 钓鱼

将pdf和cs生成的木马添加为一个自解压格式的文件

点击自解压选项 将路径设置为windows的临时文件存放目录

设置解压后先运行木马再运行pdf文件

 

 设置全部隐藏

设置解压并更新文件 覆盖所有文件（防止有同名文件）

 将压缩文件修改为desktop (空格)fdp.exe

插入反转字符

双击运行打开后为pdf文件 cs上线（较为粗糙 未修改文件名和图标）