# Cobalt Strike使用练习

使用cs4.2版本

## cs简介

Cobalt Strike一款以Metasploit为基础的GUI（用户图形化界面）框架式渗透测试工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，exe、powershell木马生成等。
钓鱼攻击包括:站点克隆，目标信息获取，java执行，浏览器自动攻击等。
Cobalt Strike主要用于团队作战，可谓是团队渗透神器，能让多个攻击者同时连接到团体服务器上，共享攻击资源与目标信息和sessions。
Cobalt Strike 作为一款协同APT(高级长期威胁)工具，针对内网的渗透测试和作为apt的控制终端功能，使其变成众多APT组织的首选。

## cs登录

现在kali虚拟机下解压文件，赋予解压后文件夹权限给777权限，进入解压后的文件运行终端

输命令：./teamserver 192.168.3.36 qweqwe   //192.168.3.36是kali虚拟机的ip，qweqwe是等下客户端的连接密码


去w10客户端运行cobaltstrike.bat文件，输入刚刚设置的密码，注意ip地址是kali的ip，端口默认是50050


登录成功后的界面：

<img src="C:\Users\XXY\Desktop\培训笔记\截图\3.PNG" alt="3" style="zoom:60%;" />

注意：登录的用户名不能一样，否则登录不上去

## 创建监听器





这里cs版本之间的区别较大。上面图是4.2的cs，下面图是3.14的cs。payload区别:Beacon是ms可以直接用，Foreign则是要联合msf来用。填写相关信息后提交，生成一个监听器。


## cs攻击模块(Attacks)

### package内容

HTML Application  生成恶意的HTA木马文件
MS Office Macro  生成office宏病毒文件
Payload Generator  生成各种语言版本的payload
USB/CD Autoplay  生成利用自动播放运行的木马文件
Windows Dropper  捆绑器，能够对文档类进行捆绑
Windows Executable  生成可执行exe木马
Windows Executable (s)  生成无状态的可执行exe木马

- HTML Application(生成恶意的HTA木马文件)


Attracks子菜单里的HTML Application模块，选择刚刚创建的第一次这个监听器，同时选择PowerShell这个方法点击Generate


选择地方保存hta文件，上图即成功生成木马文件。将该文件发送到被攻击w7虚拟机双击，可看到该机已上线。


如果没有成功，可以换另外的方法生成木马文件进行尝试。下线的步骤：右键，有一个session，里面有一个remove，再去靶机删除该进程，如果不删除进程会反复上线，为后面的实验造成干扰。

- Windows Executable  生成可执行exe木马

同样点到该模块的创建界面，选中监听器，选择保存位置，成功创建


将生成好的木马文件上传到靶机，双击运行后靶机上线







### 靶机上线后简单用法

上线后一排的介绍：pid为靶机的进程编号，last为刷新时间，默认为60秒，即每隔60秒发送一次命令，可以通过右键sleep处修改也可以用下面的命令行修改

在下面输命令的地方输：shell whoami 即可看见信息









### Web Drive-by内容

Attacks-Web Drive-byManag  对开启的web服务进行管理
Clone Site  克隆网站，可以记录受害者提交的数据
Host File  提供一个文件下载，可以修改Mime信息
Scripted Web Delivery  类似于msf的web_delivery
Signed Applet Attack  使用Java自签名的程序进行钓鱼攻击
Smart Applet Attack  自动检测Java版本并进行攻击
System Profiler  用来获取一些系统信息,比如系统版本，浏览器版本等