CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CobaltStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe 木马生成,windows dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等强大的功能!
CobaltStrike的安装cobaltstrike4.0
cobaltstrike4.4 (要求java11环境)
进入目录下执行:
sudo chmod +x teamserver cobaltstrike
./teamserver[/path/to/c2.profile] [YYYY-MM-DD] 后台运行:nohup ./teamserver 192.168.10.11 123456 & 这里CobaltStrike默认监听的是50050端口,如果我们想修改这个默认端口的话,可以打开teamserver文件,将其中的50050修改成任意一个端口号
CobaltStrike一些主要文件功能如下:
· agscript:扩展应用的脚本 · c2lint:用于检查profile的错误和异常 · teamserver:服务器端启动程序 · cobaltstrike.jar:CobaltStrike核心程序 · cobaltstrike.auth:用于客户端和服务器端认证的文件,客户端和服务端有一个一模一样的 · cobaltstrike.store:秘钥证书存放文件
一些目录作用如下:
· data:用于保存当前TeamServer的一些数据 · download:用于存放在目标机器下载的数据 · upload:上传文件的目录 · logs:日志文件,包括Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等 · third-party:第三方工具目录启动客户端连接
这里host填服务端的ip,密码就是启动服务的密码。
启动后的客户端:
我们也可以打开windows下的cobaltstrike客户端,前提是windows要有java11的环境。
1、建立Listener
2、利用Web Delivery 执行Payload
选择已经创建的监听器,payload类型设为PowerShell
成功生成一个Payload
3、在目标执行Payload
查看日志、主界面,目标主机上线4、与目标主机进行交互
选择需要交互的Beacon,单击“Interact”,进入交互模式
在需要执行的命令前加个shell即可,如 shell whoami
