CobalStrike初了解

前言

作为刚入门网安的小白，挺久之前，就曾听说过CobalStrike这样的一个ReaTeam渗透神器。所以今天尝试了下载安装以及使用,顺带记录一下下。

一、CobalStrike是什么？

Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透测试工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win
exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；

钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

Cobalt Strike 主要用于团队作战，可谓是团队渗透神器，能让多个攻击者同时连接到团体服务器上，共享攻击资源与目标信息和sessions。

Cobalt Strike 作为一款协同APT工具，针对内网的渗透测试和作为apt的控制终端功能，使其变成众多APT组织的首选。

二、CobalStrike的安装

1.JDK1.8环境

CobalStrike需要使用到java环境，最好推荐1.8，以下是JDK1.8的安装。

官网下载较慢，云盘资源链接：[https://pan.baidu.com/s/1publQgMoudKl-ONv0uE_kQ?pwd=8888
](http://xn--https-bl8js66z7n7i//pan.baidu.com/s/1publQgMoudKl-
ONv0uE_kQ?pwd=8888 "https://pan.baidu.com/s/1publQgMoudKl-
ONv0uE_kQ?pwd=8888 ")
提取码：8888

环境变量编辑:

2.CobalStrike的安装和启动

CobalStrike4.0下载云盘链接

链接：[https://pan.baidu.com/s/1XbtAzCMM68yhSkP0XJ1IzQ?pwd=7777 ](http://xn--
https-bl8js66z7n7i//pan.baidu.com/s/1XbtAzCMM68yhSkP0XJ1IzQ?pwd=7777
"https://pan.baidu.com/s/1XbtAzCMM68yhSkP0XJ1IzQ?pwd=7777 ")
提取码：7777

1，下载加压，在服务器端启动

2,在客户端运行cs.bat，随后输入IP和账号，用户名随意,链接成功

3,CobalStrike的Attack

(1)生成后门

HTML Application，生成一个恶意HTML Application木马，后缀格式为
.hta。通过HTML调用其他语言的应用组件进行攻击，提供了可执行文件、PowerShell、VBA三种方法。

MS宏，Office宏文件病毒

Payload Generator，各种语言版本的payload，C、C#、COM Scriptlet、Java、Perl、
PowerShell、Python、Ruby、VBA等等，32位和64位。

Windows Executable，生成32位或64位的exe和基于服务的exe、DLL等后门程序

Windows
Executable(S)，用于生成一个exe或powershell可执行文件，该模块提供了代理设置，能包含Beacon的完整payload。

1，宏使用，生成了宏代码后，在word文档创建宏，并发送给别人，打开则会反弹shell(一般现在不可行，现在宏的安全等级都很高)。

(2)HTTP Aplpication,生成.hta后缀文件，运行后看见shell反弹

(3)Payload Generator，使用后生成ps或者exe文件，运行后反弹shell。

(4)，Windows Executable(S)，跟3相近

反弹shell后能执行的操作:

1,端口扫描，扫描主机的开放端口

2,Mimikatz，抓取用户的用户名，密码，登录事件等等

3，提权，根据系统的漏洞自动提权

4，转储Hash，获取hash值

5，文件管理，自动获取用户桌面所有文件

6，进程管理，获取用户主机正在运行的进程

7，屏幕截图，截取计算机的屏幕

8.one-liner，使用PowerShell one
liner功能的会话。在beacon中承载一个运行有效负载的powershell脚本，powershell one-liner用于管理文件系统

9，远程VNC，与计算机桌面进行交互

10,中转，SOCKES
SERVER，内置sock，用于穿透目标机进入内网。Listener，用于建立一个新的会话，将目标作为内网里其他beacon会话的中转器。Deploy
vpn client，用于VPN连接。

beacon常用命令



argue                  匹配进程的欺骗参数

audit_uac              审查关于bypass uac 的方法

blockdlls              在子进程中阻止非Microsoft DLL

browserpivot      设置浏览器透视会话

cancel                取消正在进行的下载

cd                      更改目录

checkin              呼叫总部并发布数据

clear                  清除信标队列

connect              通过TCP连接到信标对等方

covertvpn          部署隐蔽VPN客户端

cp                      复制文件

dcsync                从DC中提取密码哈希

desktop              查看目标的桌面并与之交互

dllinject            将反射DLL注入进程

dllload              使用LoadLibrary（）将DLL加载到进程中

download          下载文件

downloads          列出正在进行的文件下载

drives                  列出目标上的驱动器

elevate                在提升的上下文中生成会话

execute                在目标上执行程序（无输出）

execute-assembly      在目标上的内存中执行本地.NET程序

exit                          终止信标会话

getprivs                    在当前令牌上启用系统权限

getsystem                尝试获取系统

getuid                      获取用户ID

hashdump              转储密码哈希

help                          帮助菜单

inject                      在特定进程中生成会话

jobkill                      杀死长时间运行的利用后任务

jobs                          列出长期运行的利用后任务

jump                          在远程主机上生成会话

kerberos_ccache_use      将kerberos票

还有克隆网站用于钓鱼，邮件钓鱼等等诸多功能。