Cobalt Strike使用练习

# Cobalt Strike使用练习

使用cs4.2版本

## cs简介

Cobalt Strike一款以Metasploit为基础的GUI(用户图形化界面)框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。
钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。
Cobalt Strike主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。
Cobalt Strike 作为一款协同APT(高级长期威胁)工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。

## cs登录

现在kali虚拟机下解压文件,赋予解压后文件夹权限给777权限,进入解压后的文件运行终端

输命令:./teamserver 192.168.3.36 qweqwe   //192.168.3.36是kali虚拟机的ip,qweqwe是等下客户端的连接密码

![一](C:\Users\XXY\Desktop\培训笔记\截图\一.PNG)

去w10客户端运行cobaltstrike.bat文件,输入刚刚设置的密码,注意ip地址是kali的ip,端口默认是50050

![2](C:\Users\XXY\Desktop\培训笔记\截图\2.PNG)

登录成功后的界面:

<img src="C:\Users\XXY\Desktop\培训笔记\截图\3.PNG" alt="3" style="zoom:60%;" />

注意:登录的用户名不能一样,否则登录不上去

## 创建监听器

![4](C:\Users\XXY\Desktop\培训笔记\截图\4.PNG)

![5](C:\Users\XXY\Desktop\培训笔记\截图\5.PNG)



这里cs版本之间的区别较大。上面图是4.2的cs,下面图是3.14的cs。payload区别:Beacon是ms可以直接用,Foreign则是要联合msf来用。填写相关信息后提交,生成一个监听器。

![6](C:\Users\XXY\Desktop\培训笔记\截图\6.PNG)

## cs攻击模块(Attacks)

### package内容

HTML Application  生成恶意的HTA木马文件
MS Office Macro  生成office宏病毒文件
Payload Generator  生成各种语言版本的payload
USB/CD Autoplay  生成利用自动播放运行的木马文件
Windows Dropper  捆绑器,能够对文档类进行捆绑
Windows Executable  生成可执行exe木马
Windows Executable (s)  生成无状态的可执行exe木马

- HTML Application(生成恶意的HTA木马文件)

![7](C:\Users\XXY\Desktop\培训笔记\截图\7.PNG)

Attracks子菜单里的HTML Application模块,选择刚刚创建的第一次这个监听器,同时选择PowerShell这个方法点击Generate

![8](C:\Users\XXY\Desktop\培训笔记\截图\8.PNG)

选择地方保存hta文件,上图即成功生成木马文件。将该文件发送到被攻击w7虚拟机双击,可看到该机已上线。

![9](C:\Users\XXY\Desktop\培训笔记\截图\9.PNG)

如果没有成功,可以换另外的方法生成木马文件进行尝试。下线的步骤:右键,有一个session,里面有一个remove,再去靶机删除该进程,如果不删除进程会反复上线,为后面的实验造成干扰。

- Windows Executable  生成可执行exe木马

同样点到该模块的创建界面,选中监听器,选择保存位置,成功创建

![10](C:\Users\XXY\Desktop\培训笔记\截图\10.PNG)

将生成好的木马文件上传到靶机,双击运行后靶机上线







### 靶机上线后简单用法

上线后一排的介绍:pid为靶机的进程编号,last为刷新时间,默认为60秒,即每隔60秒发送一次命令,可以通过右键sleep处修改也可以用下面的命令行修改

在下面输命令的地方输:shell whoami 即可看见信息









### Web Drive-by内容

Attacks-Web Drive-byManag  对开启的web服务进行管理
Clone Site  克隆网站,可以记录受害者提交的数据
Host File  提供一个文件下载,可以修改Mime信息
Scripted Web Delivery  类似于msf的web_delivery
Signed Applet Attack  使用Java自签名的程序进行钓鱼攻击
Smart Applet Attack  自动检测Java版本并进行攻击
System Profiler  用来获取一些系统信息,比如系统版本,浏览器版本等




上一篇:渗透测试-地基钓鱼篇-Cobalt Strike钓鱼(二十六)


下一篇:Sumap网络测绘探测C&C远控在野情况分析