cobalt strike

cobalt strike（简称CS）是一款团队作战渗透测试神器，分为客户端及服务端，一个服务端可以对应多个客户端，一个客户端可以连接多个服务端。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。

metasploit是一款开源框架，armitage是metasploit框架的图形化界面方式，cobalt strike是armitage的增强版，同时也是收费软件。cobalt strike在2.0版本还是依托metasploit，在3.0之后的版本使用单独的平台

目录结构
agscript 拓展应用的脚本
c2lint 用于检查profile的错误异常
teamserver 服务端程序
cobaltstrike，cobaltstrike.jar 客户端程序(java跨平台)
logs 目录记录与目标主机的相关信息
update，update.jar 用于更新CS
third-party 第三方工具

启动服务端、客户端
服务端只能安装在linux平台，且需先安装java环境：
#!/bin/bash
wget https://repo.huaweicloud.com/java/jdk/8u171-b11/jdk-8u171-linux-x64.tar.gz
tar -zxvf jdk-8u171-linux-x64.tar.gz -C /usr/lib/
echo “export JAVA_HOME=/usr/lib/jdk1.8.0_171/” >> /etc/profile
echo “export JRE_HOME=/usr/lib/jdk1.8.0_171/jre” >> /etc/profile
echo “export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH” >> /etc/profile
echo “export CLASSPATH=$CLASSPATH:.:$JAVA_HOME/lib:$JAVA_HOME/jre/lib” >>
/etc/profile
source /etc/profile
rm jdk-8u171-linux-x64.tar.gz
保存为install.sh，运行chmod +x install.sh，./install.sh执行，执行完成后再执行一次source
/etc/profile，然后输入java -version，返回java版本即安装成功。
yum search java|grep jdk yum install java-1.8.0-openjdk*

1、将cobaltstrike传入vps：
2、赋予teamserver权限：chmod +x teamserver
修改默认端口：vi teamserver → -Dcobaltstrike.server_port=50050（默认端口）
3、启动服务器：./teamserver [/path/to/c2.profile] [YYYY-MM-DD]

客户端
1、同样需要java环境（不赘述）
2、启动客户端（start.bat）
E:\tools\cobaltstrike4.0_cracked>java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -
XX:+UseParallelGC -Xms512M -Xmx1024M -jar cobaltstrike.jar

1、多个客户端连接同一个服务端

2、一个客户端连接多个服务端

常用功能

1. 链接到另外一个团队服务器
2. 断开服务器连接
3. 查看所有监听器
4. 切换为pivot图[服务器节点]
5. 切换为会话列表
6. 切换为目标列表
7. 查看凭据信息
8. 查看下载文件
9. 查看键盘记录
10. 查看屏幕截图
11. 生成stageless的exe木马文件
12. 设定java自签名applet程序攻击
13. 生成恶意Office宏攻击
14. 建立web delivery
15. 在web服务器上托管文件
16. 管理在web服务器上的应用和文件
17. 帮助
18. 关于

监听器

1. 内部beacon
   • Beacon DNS
   • Beacon HTTP
   • Beacon HTTPS
   • Beacon SMB
   • Beacon TCP
2. 外部beacon
   • Foreign HTTP
   • Foreign HTTPS

创建监听器
attack-packpage
• HTML Application 生成.hta HTML应用程序
• MS Office Macro 生成恶意宏放入office文件
• Payload Generator 生成各种语言版本的payload
• Windows Executable 可执行文件 默认x86 勾选x64表示包含x64
• Windows Executable(S) stageless生成全功能被控端

attack-web dirve-by
• Manage 管理当前Team Server开启的所有web服务
• Clone Site 克隆某网站
• Host File 在Team Server的某端口提供Web以供下载某文件
• Scripted Web Delivery 为payload提供web服务以便于下载和执行
• Signed Applet Attack 启动一个Web服务以提供自签名Java Applet的运行环境
• Smart Applet Attack - 自动检测Java版本并利用已知的exploits绕过security sandbox
• System Profiler 用来获取系统信息:系统版本，Flash版本，浏览器版本等
• Spear Phish - 鱼叉钓鱼邮件功能

靶机上线

靶机控制

• 提权Elevate
• spawn
• 运行mimikatz
• 开启VNC
• 文件浏览器
• 端口扫描
• 查看进程
• 屏幕截图

view（视图） - - web log




扫描目标网段445端口开放情况（目标-端口扫描）
portscan 192.168.1.0-192.168.1.255 445 arp 1024
ls \WIN-67HEDC9ORGG\c$

拓展脚本加载
Cobalt Strike => Script Manager

cobaltstrike

1. 设置监听器
2. 设置Attack
3. 寻找靶机漏洞，执行命令
4. 靶机上线
5. 提权
6. 内网信息收集