Cobalt Strike4.0安装教程

1.简介

Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。
Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等

2. 目录结构

一般Cobalt Strike目录结构如下：

3. 安装运行

团队服务器最好运行在Linux平台上，服务端的关键文件是teamserver和cobaltstrike.jar，将这两个文件放在同一目录下运行：

./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
<host> 必需参数 团队服务器IP
<password> 必需参数 连接服务器的密码
[/path/to/c2.profile] 可选参数 指定C2通信配置文件，体现其强大的扩展性
[YYYY-MM-DD] 可选参数 所有payload的终止时间

# 启动Team Server
./teamserver 192.168.183.147 123456 # 设置强密码，否则容易被爆破，参考附录

PS：团队服务器默认连接端口为50050，如果你想修改端口只需修改teamserver文件

4. 客户端

Linux：./cobaltstrike或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar或./cs.sh
Windows：双击cobaltstrike.exe

输入服务端IP，端口默认50050，用户名任意，密码为之前设置的密码，点击connect。第一次连接会出现hash校验，这里的hash等于前面的启动teamserver时的hash，直接点击‘是’即可连接到团队服务器上。

5. 菜单栏选项

Cobalt Strike

New Connection   # 新建连接，支持连接多个服务器端
Preferences   # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization   # 主要展示输出结果的视图
VPN Interfaces   # 设置VPN接口
Listenrs   # 创建监听器
Script Manager   # 脚本管理，可以通过AggressorScripts脚本来加强自身，能够扩展菜单栏，Beacon命令行，提权脚本等
Close   # 退出连接

View

Applications   # 显示受害主机的应用信息
Credentials   # 显示所有以获取的受害主机的凭证，如hashdump、Mimikatz
Downloads   # 查看已下载文件
Event Log   # 主机上线记录以及团队协作聊天记录
Keystrokes   # 查看键盘记录结果
Proxy Pivots   # 查看代理模块
Screenshots   # 查看所有屏幕截图
Script Console   # 加载第三方脚本以增强功能 
Targets   # 显示所有受害主机
Web Log    # 所有Web服务的日志

Attacks Packages

HTML Application   # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro   # 生成office宏病毒文件
Payload Generator   # 生成各种语言版本的payload
USB/CD AutoPlay   # 生成利用自动播放运行的木马文件
Windows Dropper   # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
Windows Executable   # 生成可执行exe木马
Windows Executable(Stageless)   # 生成无状态的可执行exe木马

Web Drive-by

Manage   # 对开启的web服务进行管理
Clone Site   # 克隆网站，可以记录受害者提交的数据
Host File   # 提供文件下载，可以选择Mime类型
Scripted Web Delivery   # 为payload提供web服务以便下载和执行，类似于Metasploit的web_delivery 
Signed Applet Attack   # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack   # 自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler   # 用来获取系统信息，如系统版本，Flash版本，浏览器版本等
Spear Phish   # 鱼叉钓鱼邮件

Reporting

Activity Report   # 活动报告
Hosts Report   # 主机报告
Indicators of Compromise   # IOC报告：包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
Sessions Report   # 会话报告
Social Engineering Report   # 社会工程报告：包括鱼叉钓鱼邮件及点击记录
Tactics, Techniques, and Procedures   # 战术技术及相关程序报告：包括行动对应的每种战术的检测策略和缓解策略
Reset Data   # 重置数据
Export Data   # 导出数据，导出.tsv文件格式

Help

Homepage   # 官方主页
Support   # 技术支持
Arsenal   # 开发者
System information   # 版本信息
About   # 关于

工具栏

1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载，可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于