CobaltStrike后渗透工具精华教程-程序员宅基地

Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。
Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。
一般Cobalt Strike目录结构如下:
在这里插入图片描述
agscript 拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver 服务端程序
cobaltstrike,cobaltstrike.jar客户端程序(java跨平台)
license.pdf 许可证文件
logs 目录记录与目标主机的相关信息
update,update.jar用于更新CS
third-party 第三方工具
团队服务器最好运行在Linux平台上,服务端的关键文件是teamserver和cobaltstrike.jar,将这两个文件放在同一目录下运行:
./teamserver [/path/to/c2.profile] [YYYY-MM-DD]
必需参数 团队服务器IP
必需参数 连接服务器的密码
[/path/to/c2.profile] 可选参数 指定C2通信配置文件,体现其强大的扩展性
[YYYY-MM-DD] 可选参数 所有payload的终止时间

启动Team Server

./teamserver 192.168.183.147 123456 # 设置强密码,否则容易被爆破。
PS:团队服务器默认连接端口为50050,如果你想修改端口只需修改teamserver文件
在这里插入图片描述
Windows下启动teamserver执行命令(以管理员身份进入dos)
teamserver.bat 8.8.8.8 123456
8.8.8.8为你的服务器外网IP,123456为Coabltstrike的客户端密码
客户端
Linux:./cobaltstrike或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
Windows:双击cobaltstrike.exe
输入服务端IP,端口默认50050,用户名任意,密码为之前设置的密码,点击connect。第一次连接会出现hash校验,这里的hash等于前面的启动teamserver时的hash,直接点击‘是’即可连接到团队服务器上。
在这里插入图片描述

参数详情

Cobalt Strike
在这里插入图片描述
New Connection # 新建连接,支持连接多个服务器端
Preferences # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization # 主要展示输出结果的视图
VPN Interfaces # 设置VPN接口
Listenrs # 创建监听器
Script Manager # 脚本管理,可以通过AggressorScripts脚本来加强自身,能够扩展菜单栏,Beacon命令行,提权脚本等
Close # 退出连接
View
在这里插入图片描述
Applications # 显示受害主机的应用信息
Credentials # 显示所有以获取的受害主机的凭证,如hashdump、Mimikatz
Downloads # 查看已下载文件
Event Log # 主机上线记录以及团队协作聊天记录
Keystrokes # 查看键盘记录结果
Proxy Pivots # 查看代理模块
Screenshots # 查看所有屏幕截图
Script Console # 加载第三方脚本以增强功能
Targets # 显示所有受害主机
Web Log # 所有Web服务的日志
Attacks
Packages
在这里插入图片描述

HTML Application - 生成(executable/VBA/powershell)这3种原理不同的VBScript实现的evil.hta文件

MS Office Macro - 生成恶意宏放入office文件 非常经典的攻击手法

Payload Generator - 生成各种语言版本的payload 便于进行免杀

USB/CD AutoPlay - 生成利用自动播放运行的被控端文件

Windows Dropper - 捆绑器可将任意正常的文件(如1.txt)作为Embedded File),捆绑生成Dropper.exe (免杀效果差,很容易被杀软的行为分析引擎报毒)

Windows Executable - 可执行文件 默认x86 勾选x64表示包含x64 payload stage生成了artifactX64.exe(17kb) artifactX64.dll(17kb)

Windows Executable (Stageless) - Stageless 表示把包含payload在内的"全功能"被控端都放入生成的可执行文件beconX64.exe(313kb) beconX64.dll(313kb) becon.ps1(351kb)

Web Drive-by
在这里插入图片描述

Manage - 管理当前Team Server开启的所有web服务(以下Clone Site等功能开启的)

Clone Site - 克隆某网站 可使用JavaScript记录victim在生成的钓鱼网站的按键记录

Host File - 在Team Server的某端口提供Web以供下载某文件,可选择response的MIME(推荐将文件放到github等"白域名"下以对抗流量分析)

Scripted Web Delivery - 为payload提供web服务以便于下载和执行,类似于msf的Script Web Delivery.(推荐将文件放到github等"白域名"下以对抗流量分析)

Signed Applet Attack - 启动一个Web服务以提供自签名Java Applet的运行环境,浏览器会要求victim授予applet运行权限,如果victim同意则实现控制。该攻击方法已过时。Java Self-Signed Applet (Age: 1.7u51)

Smart Applet Attack - 自动检测Java版本并l利用已知的exploits绕过security sandbox.CS官方称该攻击的实现已过时,在现代环境中无效

System Profiler 用来获取系统信息:系统版本,Flash版本,浏览器版本等

Spear Phish - 鱼叉钓鱼邮件功能

Reporting
在这里插入图片描述
Activity Report # 活动报告
Hosts Report # 主机报告
Indicators of Compromise # IOC报告:包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
Sessions Report # 会话报告
Social Engineering Report # 社会工程报告:包括鱼叉钓鱼邮件及点击记录
Tactics, Techniques, and Procedures # 战术技术及相关程序报告:包括行动对应的每种战术的检测策略和缓解策略
Reset Data # 重置数据
Export Data # 导出数据,导出.tsv文件格式
在这里插入图片描述
1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载,可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于

基本流程

创建监听器
点击Cobalt Strike -> Listeners->Add,其中内置了九个Listener
indows/beacon_dns/reverse_dns_txtwindows/beacon_dns/reverse_http
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_smb/bind_pipe
windows/foreign/reverse_dns_txt
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcp
其中windows/beacon为内置监听器,包括dns、http、https、smb四种方式的监听器;windows/foreign为外部监听器,配合Metasploit或者Armitage的监听器。
在这里插入图片描述
Name任意,选择所需的payload,Host为本机IP,port为没有被占用的任意端口
点击save即创建成功
生成木马
这里选择其中一种攻击方式作示范,
点击Attacks->Packages->Windows Executable,选择对应的监听器,
点击Generate生成,选择生成的路径及文件名保存即可。
在这里插入图片描述
运行生成的木马,即可看到肉鸡上线;
在这里插入图片描述
当受害机上线以后,右击选择Interact,就可以打开Beacon Console,
在beacon处输入help可以看到命令说明,可用help+命令的方式查看具体命令参数说明。由于受害机默认60秒进行一次回传,为了实验效果我们这里把时间设置成5。
后续使用方法在另行介绍。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44155363/article/details/105144018

智能推荐

洛谷 P1712 [NOI2016] 区间(线段树+贪心+思维)_noi2016 区间-程序员宅基地

文章浏览阅读163次。const int N=5e5+5; int n,m; int i,j,k; int a[N]; struct Node { int l,r; int ll,rr; bool operator<(Node o){ //if(o.r==r) return l<o.l //return r<o.r; retu..._noi2016 区间

PullToRefreshListView实现下拉刷新_pulltorefreshlistview下拉模式-程序员宅基地

文章浏览阅读298次。首先我们需要理解PullToRefreshListView是一个竖直的LinearLayout具体的样式大致可以分为三部分,如下图图中的mRefreshableView是一个listview,我们都知道,如果一个listview,那么他本身是可以有一个headview和footview的,也就是这个又可以具体分为下面这样:下面我们来分析具体的场景:1.正常状态下手指_pulltorefreshlistview下拉模式

微服务服务链路追踪zuul+Sleuth+zipkin使用_zipkin zuul-程序员宅基地

文章浏览阅读547次。服务链路追踪链路追踪的必要性zuul使用zuul使用创建新模块Sleuth使用Sleuthzipkin原理存储方式使用项目添加启动zipkin服务器zipkin服务端使用代码地址链路追踪的必要性前端的一个请求,打到后台,后台响应结果,这就是一个业务的场景。如果响应异常、请求超时、业务使用那些服务等。这些问题我们可以通过链路追踪来解决这个问题,当然业务通过其他方式。我在实际项目中跟踪问题的时候,那个时候没有使用框架,不过也使用网关。一个结果返回错误,我先查看nginx中有没有这个请求url过来,查看请求_zipkin zuul

英伟达斥资 400 亿美元收购 Arm-程序员宅基地

文章浏览阅读443次。点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源:云头条英伟达证实,它以400亿美元的价格从软银手中收购处理器架构设计公司Arm。这笔交易证实了《华尔..._英伟达收购arm的方式

hdu1159 Common Subsequence(最长公共子序列)_最长公共子序列 hdu-程序员宅基地

文章浏览阅读441次。http://acm.hdu.edu.cn/showproblem.php?pid=1159题意:给你两个字符串,求他们的最长公共子序列。思路:感觉比LIS略难,按照这个递推式理解吧:思路根源感觉和背包的放与不放相似。当相应字符相匹配时,一个两者都有的状态是由有你没我、有我没你、(两者都没然后+1)的状态转移而来的;当相应字符不匹配时,虽然(两者都没然后+1)的状态_最长公共子序列 hdu

基于SPRINGBOOT集成SECURITY、OAUTH2实现认证鉴权、资源管理_springboot oauth2-程序员宅基地

文章浏览阅读4.3k次,点赞3次,收藏14次。基于SPRINGBOOT集成SECURITY、OAUTH2实现认证鉴权、资源管理_springboot oauth2

随便推点

java post 发送_Java发送post方法详解-程序员宅基地

文章浏览阅读1w次。总结一下java使用http发送post的方法:1、post请求用于发送json 格式的参数:/*** post请求(用于请求json格式的参数)** @param url 地址* @param params json格式的参数* @return*/public static String doPost(String url, String params) throws Exception {C..._java post

云-腾讯云-实时音视频:实时音视频(TRTC)-程序员宅基地

文章浏览阅读3.1k次。ylbtech-云-腾讯云-实时音视频:实时音视频(TRTC)支持跨终端、全平台之间互通,从零开始快速搭建实时音视频通信平台1.返回顶部 1、腾讯实时音视频(Tencent Real-Time Communication,TRTC)拥有QQ十几年来在音视频技术上的积累,致力于帮助企业快速搭建低成本、高品质音视频通讯能力的完整解决方案。..._腾讯实时音视频 分享链接

iOS开发-关于keychain存储和数据分享(keychain share)group的一些总结_ios keychaingroups-程序员宅基地

文章浏览阅读1w次。iOS开发-关于keychain存储和数据分享(keychain share)group的一些总结iOS开发中难免会接触keychain,keychain说到底其实就是钥匙串,mac操作经常会遇到的。登录某个网站时都会提示你要不要存储密码等操作,都是对钥匙串进行操作。 iOS开发中用到keychain主要用来保存一些比较私密的且无法保存到服务器的数据。keychain是存在于系统级别的..._ios keychaingroups

win10系统如何便捷的用管理员启动cmd.exe?_windows10 以系统管理员身份运行 cmd.exe-程序员宅基地

文章浏览阅读251次。win10系统如何便捷的用管理员启动cmd.exe?系统命令都在 C:\Windows\System32目录下,在这个目录下找到cmd.exe,选中右键以管理员身份运行就OK了。_windows10 以系统管理员身份运行 cmd.exe

GB28181协议怎样执行保活命令_gb28181 sdcardstatus-程序员宅基地

文章浏览阅读133次。GB28181协议指的是国家标准GB/T 28181—2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》。该标准规定了公共安全视频监控联网系统的互联结构, 传输、交换、控制的基本要求和安全性要求, 以及控制、传输流程和协议接口等技术要求,是视频监控领域的国家标准。GB28181协议信令层面使用的是SIP(Session Initiation Protocol)协议。流媒体传输层面使用的是实时传输协议(Real-time Transport Protocol,RTP)协议。_gb28181 sdcardstatus

Zuul网关使用步骤_zuul使用教程-程序员宅基地

文章浏览阅读369次。Zuul网关使用步骤1.在父项目中导入依赖SpringCloud管理<dependencyManagement> <dependencies> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-dependencies&_zuul使用教程