工具简介
Raphael Mudge 于 2012 年创建了 Cobalt Strike,以实现具有威胁代表性的安全测试。Cobalt Strike 是最早的公共红队指挥和控制框架之一。2020 年,Fortra(HelpSystems 的新面孔)收购了 Cobalt Strike,以增加其 Core Security 产品组合并与 Core Impact 配对。如今,Cobalt Strike 是许多美国政府、大型企业和咨询机构的首选红队平台。(官网链接:https://www.cobaltstrike.com/)
Cobalt Strike是一款基于java的渗透测试神器,分为客户端与服务端,多个客户端可以连接到同一团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。
下载安装
官网下载链接:
https://download.cobaltstrike.com/download
(人家要License Key,这东西估计要买,还是在网上随便找个网盘地址下载吧)
启动服务器
前置环境条件
Cobalt Strike 团队服务器
必须在受支持的 Linux 系统上运行:
- Debian
- Ubuntu
- Kali Linux
Cobalt Strike 客户端
必须在受支持的 Linux 系统上运行:
- Windows 7及以上
- MacOS X 10.13及以上
- 基于GUI的Linux,如:Debian, Ubuntu和Kali Linux等
Cobalt Strike的GUI客户端和团队服务器
需要以下Java环境之一:(openJDK安装方式待补充,官方下载地址: https://jdk.java.net/archive/)
- Oracle Java 1.8
- Oracle Java 11
- OpenJDK 11
安装
- 解压发行包
- linux:
tar zxvf cobaltstrike-dist.tgz
(解压cobaltstrike-dist.tgz) - macOS:
- 双击 cobaltstrike-dist.dmg 文件
- 将Cobalt Strike文件夹拖到Applications文件夹中
- windows:
- 安装Cobalt Strike前禁用杀毒软件
- 将cobaltstike.zip文件解压缩到想要的安装位置
- linux:
- 运行更新程序完成安装
- linux:
cd /path/to/cobaltstrike ./update
- macOS:
- 进入“Cobalt Strike”文件夹
- 双击Update Cobalt Strike.command
- windows:
- 进入“Cobalt Strike”文件夹
- 双击update.bat
- linux:
使用说明
官方操作指南坐标:
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_starting-cs-team-server.htm
启动服务端
./teamserver <ip_address> <password> [<malleableC2profile> <kill_date>]
# ip_address - 团队服务器的外部可访问的 IP 地址
# password - Cobalt Strike 客户端连接到团队服务器的密码
# malleableC2profile - 自定义配置文件
启动客户端
linux:
./cobaltstrike
macOS:
- 进入 Cobalt Strike 文件夹
- 双击 “cobaltstrike”
Windows:
- 进入 Cobalt Strike 文件夹
- 双击 “cobaltstrike.exe”
然后输入账号名和密码即可连接服务器:
生成钓鱼文件
ps:如果不把防火墙关完这个恶意文件根本跑不起来
(参考:https://blog.csdn.net/Z_l123/article/details/122605750)
- 监听端口
- 生成恶意链接
- 利用powershell生成恶意lnk
- 诱导目标点击lnk