环境准备
kali:攻击机,同时作为cobaltstrike服务器(没有服务器,客户端开启不了)
windows7:靶机
本机win10:作为cobaltstrike客户端,用于生成带有宏病毒的office文档
工具使用
-
复现使用工具复现kali上开启cobaltstrike服务器
进到cobaltstrike目录下执行
sudo ./teamserver 192.168.139.149 123456 # IP为服务运行所在IP,123456是客户端连接需要用的密码
-
客户端开启cobaltstrike,双击 bat 开启,填写相应信息
-
新建一个监听器,用于目标主机中招后回连,主机地址就是 cobaltstrike 服务器的地址,也就是 kali 的地址
-
生成带有宏病毒的office文档,选择上面的那个监听器,然后按提示操作即可
在创建宏时,宏的位置一定要选择当前文档,不然无法用于传输(默认的宏位置 所有活动模板和文档,无法跟随文档进行传输)
粘贴完脚本之后
ctrl+s
保存的时候选择另存为,以下几种类型都行
-
将文档发送到靶机上运行,默认是禁用宏的,所以在实际使用场景中还需要精心构造一下来诱使目标点击启用内容
-
查看上线主机,在 cobaltstrike 客户端中可以看到所有上线的主机,并获取了一定的控制权