Cobaltstrike学习（一）生成Listner和Payload

一、Listner（监听器）

        Listner(监听器):用于监控其他对象身上发生改变的事件和状态来进行响应的处理的设置，可以理解为：用来监控接受目标主机权限的一个设置。现在很多工具都有 Listner的设置，例：msf、empire等。

1、创建 Listner: Cobalt strike ==>Listner

       我用的是3.14版本，里面内置了9个监听器。

            

beacon是cs内置的监听器，当我们在目标机器上成功执行Payload后，会返回一个shell发送到cs上。

foreign主要是提供给cs外的工具使用的监听器，例如派生出来msf、armitage的shell来进行后渗透。

2.配置 Listner:

        输入名称==>选择需要的Listner类型==>配置公网vps的地址和端口（有可能会冲突，报错就换个端口）==>保存

在生成Payload时选择此监听器就可以了

 

 二、Payload

Payload可以理解成一段利用漏洞或者植入后门的程序和代码

1.生成Payload

汉化版：攻击==>生成后门

英文版：Attacks==>Packages

我这里写的是我经常用到的

（1）Payload Generator

这个模块可以生成各种语言的后门Payload，例如：C,C#,Python,Java,Perl,Powershell脚本,Powershell命令,Ruby,Raw,免杀框架Veli中的shellcode等等,我就比较喜欢用Powershell Command，因为它可以生成一串可执行的命令，只需要在目标机器上执行这串命令就行，无需做其他操作就可以得到目标机器的shell。很方便（^_^）

（2）Windows Dropper

这是一个可以和windows程序进行捆绑的选项，可以把后门和别的正常的程序捆绑在一起，比如qq，微信之类的程序，我一般钓鱼/社工的时候会用到

这里我捆绑的文件是123.txt，生成了dropper.exe，双击程序后cs收到了

（3）Windows Excutable/Windows Excutable(s)

这个选项是生成windows可执行程序，例：exe、dll。

exe文件双击运行，cs就可以收到会话

dll后续补充

(4)Windows Excutable(s):stageless版本无状态windows木马

内网服务器A：不能连外网

内网服务器B：可以连外网，也可以连内网服务器A

vps：我们的攻击服务器

此木马的作用是，用内网服务器B做代理服务器，把内网服务器A的上的连接内网服务器B会话转发给vps，做一个跳转，可以连接到内网中

在使用这个木马的时候，如果目标服务器的防火墙是开启状态，防火墙会产生安全告警，需要提前添加通信规则或者是关闭防火墙。