Cobalt Strike入门宝典

简介

Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。

Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

目录结构

一般Cobalt Strike目录结构如下：

agscript 拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver 服务端程序
cobaltstrike，cobaltstrike.jar客户端程序(java跨平台)
 license.pdf 许可证文件
logs 目录记录与目标主机的相关信息 
update，update.jar用于更新CS 
third-party 第三方工具

安装运行

服务端

团队服务器最好运行在Linux平台上，服务端的关键文件是teamserver和cobaltstrike.jar，将这两个文件放在同一目录下运行：

./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
<host> 必需参数 团队服务器IP
<password> 必需参数 连接服务器的密码
[/path/to/c2.profile] 可选参数 指定C2通信配置文件，体现其强大的扩展性
[YYYY-MM-DD] 可选参数 所有payload的终止时间

# 启动Team Server
./teamserver 192.168.183.147 123456 # 设置强密码，否则容易被爆破，参考附录

PS：团队服务器默认连接端口为50050，如果你想修改端口只需修改teamserver文件

客户端

Linux：./cobaltstrike或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar Windows：双击cobaltstrike.exe

输入服务端IP，端口默认50050，用户名任意，密码为之前设置的密码，点击connect。第一次连接会出现hash校验，这里的hash等于前面的启动teamserver时的hash，直接点击‘是’即可连接到团队服务器上。

参数详情

菜单栏

Cobalt Strike

View

Attacks

Packages

Web Drive-by

Reporting

Help

工具栏

1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载，可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于

基本流程

创建监听器

点击Cobalt Strike -> Listeners->Add，其中内置了九个Listener

indows/beacon_dns/reverse_dns_txtwindows/beacon_dns/reverse_http
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_smb/bind_pipe
windows/foreign/reverse_dns_txt
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcp

其中windows/beacon为内置监听器，包括dns、http、https、smb四种方式的监听器；windows/foreign为外部监听器，配合Metasploit或者Armitage的监听器

Name任意，选择所需的payload，Host为本机IP，port为没有被占用的任意端口 点击save即创建成功

生成木马

这里选择其中一种攻击方式作示范，后面再做详细解释：点击Attacks->Packages->HTML Application，选择对应的监听器，方法这里有三种(executable/VBA/powershell)，选择powershell，点击Generate生成，选择生成的路径及文件名保存即可。

总结

这里只是简单描述CobaltStrike的用法，其中还有很多功能的使用，需要实际操作中去发现。更核心的地方在于理解CobaltStrike的Beacon在内网中的通信过程，这对于渗透者能否更进一步深入内网起到重要作用，也是神器的价值所在