CobaltStrike
CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CobaltStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe 木马生成,windows dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等强大的功能!
CobaltStrike的安装
cobaltstrike4.0
cobaltstrike4.4 (要求java11环境)
进入目录下执行:
sudo chmod +x teamserver cobaltstrike
CobaltStrike的使用
启动服务端:
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
后台运行:nohup ./teamserver 192.168.10.11 123456 &
这里CobaltStrike默认监听的是50050端口,如果我们想修改这个默认端口的话,可以打开teamserver文件,将其中的50050修改成任意一个端口号
CobaltStrike一些主要文件功能如下:
· agscript:扩展应用的脚本
· c2lint:用于检查profile的错误和异常
· teamserver:服务器端启动程序
· cobaltstrike.jar:CobaltStrike核心程序
· cobaltstrike.auth:用于客户端和服务器端认证的文件,客户端和服务端有一个一模一样的
· cobaltstrike.store:秘钥证书存放文件
一些目录作用如下:
· data:用于保存当前TeamServer的一些数据
· download:用于存放在目标机器下载的数据
· upload:上传文件的目录
· logs:日志文件,包括Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等
· third-party:第三方工具目录
启动客户端连接
这里host填服务端的ip,密码就是启动服务的密码。
启动后的客户端:
我们也可以打开windows下的cobaltstrike客户端,前提是windows要有java11的环境。
客户端使用说明
实例 获取一个Beacon
1、建立Listener
2、利用Web Delivery 执行Payload
选择已经创建的监听器,payload类型设为PowerShell
成功生成一个Payload
3、在目标执行Payload
查看日志、主界面,目标主机上线4、与目标主机进行交互
选择需要交互的Beacon,单击“Interact”,进入交互模式
在需要执行的命令前加个shell即可,如 shell whoami