介绍
Cobalt Strike 一款以 Metasploit 为基础的 GUI 框架式渗透测试工具,集成了端口转发,服务扫描,自动化溢出,多模式端口监听,exe,powershell木马生成,office宏病毒等。
Cobalt Strike 主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。
Cobalt Strike 作为一款协同APT工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。
安装
Cobalt Strike 分为客户端和服务端,服务端只能有一个,客户端可以有多个,可分布式操作、协同作战,服务器端需要有一个公网IP,可搭建在VPS上。
1.服务端
服务端关键的文件是teamserver以及cobaltstrike.jar,将这两个文件放到服务器上同一个目录,然后运行:
chmod +x teamserver
./teamserver 公网ip 连接密码 # 服务端真实IP(不能使用0.0.0.0或127.0.0.1)和连接密码
服务端默认连接端口为50050,修改默认端口只需修改teamserver文件中 .server_port 字段
2.客户端
客户端在 Windows、Linux、Mac 下都可以运行 (需要配置好Java环境)。启动 Cobalt Strike 客户端,输入服务端的IP以及端口、连接密码,用户名可以任意设置。
3.参数详情
Cobalt Strike
New Connection #创建新连接(支持连接多个服务器端)
Preferences #偏好设置(设置CobalStrike界面、控制台、以及输出报告样式、TeamServer连接记录等)
Visualization #窗口可视化模式(展示输出结果的形式)
VPN Interfaces #VPN接入
Listenrs #监听器(创建Listener)
Script Manager #脚本管理
Close #关闭
View
Applications #应用(显示受害者机器的应用信息)
Credentials #凭证(通过hashdump或Mimikatz抓取过的密码都会储存在这里)
Downloads #下载文件
Event Log #事件日志(主机上线记录以及团队协作聊天记录)
Keystrokes #键盘记录
Proxy Pivots #代理模块
Screenshots #截图
Script Console #脚本控制台(可以加载各种脚本,增强功能https://github.com/rsmudge/cortana-scripts)
Targets #显示目标主机
Web Log #Web日志
Attacks
1.Packages
HTML Application #生成恶意的HTA木马文件
MS Office Macro #生成office宏病毒文件
Payload Generator #生成各种语言版本的payload
USB/CD AutoPlay #生成利用自动播放运行的木马文件
Windows Dropper #捆绑器,能够对文档类进行捆绑
Windows Executable #生成可执行Payload
Windows Executable(S) #包含payload,Stageless生成可执行文件(包含多数功能),生成文件较大但功能齐全
2.Web Drive-by
Manage #对开启的web服务进行管理
Clone Site #克隆网站(可记录受害者提交的数据)
Host File #提供Web以供下载某文件
Scripted Web Delivery #提供Web服务,便于下载和执行PowerShell Payload,类似于Metasploit的web_delivery
Signed Applet Attack #启动一个Web服务以提供自签名Java Applet的运行环境
Smart Applet Attack #自动检测Java版本并利用已知的exploits绕过security
System Profiler #用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等
Reporting
Activity report #活动报告
Hosts report #主机报告
Indicators of Compromise #威胁报告
Sessions report #会话报告
Social engineering report #社会工程学报告
Tactics, Techniques, and Procedures #策略、技巧和程序
Reset Data #重置数据
Export Data #导出数据