1.Cobalt Strike 介绍与安装
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS;其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
早期版本CobaltSrtike依赖Metasploit框架,而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端(Client)与服务端(Teamserver),服务端是一个,客户端可以有多个,团队可进行分布式协团操作。
工作模式如下:
主要的优点能够让黑客进行团队合作以及分布式的攻击行动
2. Cobalt Strike 架构
现在使用的是4.2的版本,架构如下
│ third-party 第三方工具,里面放的vnc dll
│ tools cs的加载的扩展文件
│ c2lint 检查profile的错误异常
│ cobaltstrike
│ cobaltstrike.jar 客户端程序
│ cobaltstrike4.2.bat 启动bat脚本文件
│ CobaltstrikeCN.jar 启动中文jar文件
│ icon.jpg LOGO
│ license.pdf 许可证文件
│ readme.txt
│ releasenotes.txt
│ teamserver 服务端程序
│ update
│ update.jar 更新程序
3.启动Cobalt Strike
因为cs是通过java开发的,所以要提前安装jdk的运行环境
服务端启动命令:
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
然后启动客户端,Windows打开start.bat,linux打开start.sh。这里的HOST填写teamserver团队服务器的IP;port是启动teamserver时的端口,默认是50050(这个端口可以通过更改配置文件改变);user随便填;password是建立teamserver时写的,我这里是123
客户端连接到服务端的画面如下
4.Cobalt Strike 木马上线
1、首先建立一个监听器:
首先点击左上角第三个“耳机”图标,然后在下方弹框中点击“add”添加一个New Listener,并填写图中几项内容。
关于HTTP Host(stager)和HTTP Host的区别:
HTTP Host:
按 [+] 来为 HTTP Beacon 增加一个或多个回连的主机。
按 [-] 来移除一个或多个主机。
按 [X] 来清除当前的主机。
如果你有多个主机,仍然可以在此对话框中粘贴以逗号分隔的回连主机列表。
HTTP Host(Stager) 字段控制 HTTP Beacon 的 HTTP Stager 的主机。仅当你将此 payload 与需要显式 stager 的攻击配对时,才使用此值。
此外,HTTP Port(C2) 字段设置你的 HTTP Beacon 回连的端口。HTTP Port(Bind) 字段指定你的 HTTPBeacon payload web 服务器绑定的端口。
建议去看一下大佬写的CobaltStrike4.0手册
2、生成木马文件
攻击---生成木马---windows分阶段木马
把生成的木马文件扔到目标机器上运行
Ok,这就上线了