【网络安全】内网杀器之Cobalt Strike

目录

一、什么是 Cobalt Strike？

二、功能介绍

 1.CS基础功能

（1）新建连接

（2）设置

 （3）监听器

 （4）VPN接口

（5）脚本管理器

 2.视图

 3.其他介绍

（1）Cobalt Strike 编写脚本

（2）会话和目标可视化展示

（3）监听器管理

三、小结

---

一、什么是 Cobalt Strike？

官方说明：Cobalt Strike 是一个为对手模拟和红队行动而设计的平台，主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。

个人理解：也就是内网渗透测试阶段团队使用的一个工具，用来转发一些需要的权限

使用 Cobalt Strike 来协调红队的分散行动。使用一个或更多的远程主机分阶段的筹划 Cobalt Strike 基础设施。启动团队服务器并让你的团队与其建立连接。

建立连接的要求：

1.使用相同的会话

2.分享主机、捕获的数据和下载的文件

3.通过一个共享的事件日志交流

二、功能介绍

首先我们先打开cs

 开启cs服务

 下图为我们看到的页面

 1.CS基础功能

（1）新建连接

（2）设置

 （3）监听器

 （4）VPN接口

（5）脚本管理器

 2.视图

这里主要因为是中文版本，那么就很简单可以直接字面理解

应用信息：就是对方操作系统上的一些应用和信息

凭证信息：说白了就是密码

文件下载：对方下载了什么文件

日志：网络记录

键盘记录：敲键盘敲了什么

代理信息：配置代理，主要正对两台内网主机，其中一个作为跳板进行配置代理

屏幕截图：对方截图的信息显示再cs

目标：就是看目标主机的在线状态

web日志：网站访问等信息的记录

 3.其他介绍

（1）Cobalt Strike 编写脚本

Cobalt Strike 可通过它的 Aggressor Script 语言来为其编写脚本。Aggressor Script 是 Armitage 的Cortana 脚本语言的精神继任者，虽然这两者并不兼容。在 Cobalt Strike 内有一个默认的脚本，定义了展示在 Cobalt Strike 控制台的所有弹出菜单和格式信 息。通过 Aggressor Script 引擎，你可以覆盖这些默认设置、根据偏好个性化设置 Cobalt Strike。 也可以使用 Aggressor Script 来给 Cobalt Strike 的 Beacon 增加新的功能和使特定的任务自动化。

（2）会话和目标可视化展示

Cobalt Strike 有多种可视化展示，这些不同的设计是为了帮助你的行动中的不同部分。

你可以通过工具条或 Cobalt Strike → Visualization （可视化）菜单在不同的可视化形式之间切换。 展示了 Cobalt Strike 的数据模型中的目标。此目标表展示了每个目标的 IP 地址，它的 NetBIOS 名称，以及你或者你的团队成员给目标标记的一个备注。每个目标最左侧的图标表示了它的操作系统。 带有闪电的红色图标表示此目标具有一个与之通信的 Cobalt Strike Beacon 会话。

（3）监听器管理

要管理 Cobalt Strike 的监听器，通过 Cobalt Strike → Listeners 。这会打开一个标签页，列举出 所有你的配置的 payload 和监听器。 payload staging（分阶段传送 payload）。在很多攻击框架的 设计中，解耦了攻击和攻击执行的内容。payload 就是攻击执行的内容。payload 通常被分为两部分： payload stage 和 payload stager。stager 是一个小程序，通常是手工优化的汇编指令，用于下载一个 payload stage、把它注入内存，然后对其传达执行命令。这个过程被称为 staging（分阶段）。

三、小结

后续将更新cs实战操作5-6篇，各位小伙伴敬请期待