【CobaltStrike】对CobaltStrike内置功能模块的了解

对CobaltStrike内置功能模块的了解

0x00 右键功能列表

Interact 打开beacon
Access 
	dump hashes 获取hash
	Elevate  提权
	Golden Ticket 生成黄金票据注入当前会话
	MAke token  凭证转换
	Run Mimikatz 运行 Mimikatz 
	Spawn As 用其他用户生成Cobalt Strike侦听器
Explore
	Browser Pivot 劫持目标浏览器进程
	Desktop(VNC)  桌面交互
	File Browser  文件浏览器
	Net View 命令Net View
	Port scan 端口扫描
	Process list 进程列表
	Screenshot 截图
Pivoting
	SOCKS Server 代理服务
	Listener  反向端口转发
	Deploy VPN 部署VPN
Spawn  新的通讯模式并生成会话
Session 会话管理，删除，心跳时间，退出，备注

0x01 payload生成模块

支持直接生成 exe,dll,powershell,hta,图片捆绑,USB 感染,vba 宏木马,以及自定义基于各种语言的 shellcode【 比如,raw,c,c#,java,vba,python,ruby 等等...】,所有payload 均同时支持 32 和 64 位 。

HTML Application 生成hta文件
MS Office Macro  宏office文件
Payload Generator  生成各种语言版本的payload
USB/CD AutoPlay 利用自动播放运行的被控端文件
Windows Dropper 捆绑器可将任意正常的文件
Windows Executable payload生成可执行文件 (一般使用这个)
Windows Executable (S)  把包含payload,Stageless生成可执行文件(包含多数功能)

 

 

 

 

0x02 丰富灵活的多种协议类型协议监听器

支持多种协议监听器类型,比如,反向 http,https,dns[ 隧道 ],dns_txt,bind smb,bind tcp（最新版中才有此监听器，bind 类型监听器主要用于内网横向扩展,也就是所 谓的 shell 级联 ）以及各类协议的外部监听,外部监听主要用来和其他渗透框架（比如,msf,empire...）进行多方联动利用 。

 

0x03 钓鱼攻击及探针收集模块

自动化挂马链接生成,自动化钓鱼及探针【 探针搜集的信息比较有限(也并不是按自己的实际需求去搜集的),不过这些后期可自行通过修改底层代码进行定制 】页面生成,钓鱼邮件群发功能...

Spear Phish 鱼叉式网络钓鱼

0x04 Beacon shell模块

浏览器进程代理 【实时跟踪目标浏览器访问(无需密码) 】, bypassUAC 模块 , 基础文件管理 【上传,下载,新建,删除,目录切换,时间戳修改...】,进程管理, 提权模块【由于免杀的问题,这个利用很有限】, 跳板, dll 注入, 端口转发(主要用来转发 beacon), 端口扫描, 自带的各类横向移动套件 【比如,wmi,winRM,pth,psexec 】, powershell 利用套件, socks 代理【类型为 socks4】, 令牌窃取利用, 执行身份切换, 强大的 shell 派生的功能, 原生 cmd 命令支持, ssh 客户端套件, mimikatz 套件,所谓套件的意思就是一堆工具的集合,在线传输协议切换,等等等...

 

0x05 自定义sleep脚本

除了 cs 本身提供的一些基础功能,我们也可以自行通过编写 sleep 脚本,定制扩展增强 cs 的功能,如,上线 邮件或者短信提醒,增加自启动,自定义更多横向利用模块,自定义各种提权 exp,等等...

 

0x06 自定义C2修改数据特征

https://github.com/rsmudge/Malleable-C2-Profiles

 

0x07 内置web服务器

Manage  开启的所有web服务
Clone Site 克隆网站 
Host File 提供Web以供下载某文件
Scripted Web Delivery  为payload提供web服务以便于下载和执行
Signed Applet Attack  启动一个Web服务以提供自签名Java Applet的运行环境
Smart Applet Attack  自动检测Java版本并l利用已知的exploits绕过security
System Profiler 获取系统，Flash，浏览器版本等

 

 

 

0x08 图文报告功能

支持一键生成完整渗透报告，几乎包括整个渗透过程中的所有信息,比如,存活主机,已获取的各种账号密码 hash,拓扑详细划分,等等...

Activity report  活动报告
Hosts report  主机报告
Indicators of Compromise 威胁报告
Sessions report  会话报告
Social engineering report  社会工程学报告

 

 

0x09 来源

404师傅：https://github.com/aleenzz/Cobalt_Strike_wiki

klion师傅：https://t.zsxq.com/JufyZzj

 

转载于:https://www.cnblogs.com/ldhbetter/p/10684844.html