Cobalt Strike3.8及中文支持

终端一
chmod +x teamserver
./teamserver 192.168.247.129 123456

IP是服务器IP，这里由于是本机测试，所以就是本机IP，123456是连接CobaltStrike服务器的密码

终端二
chmod +x cobaltstrike
./cobaltstrike

弹出窗口中填写正确信息后点击Connect即可连接

使用Cobalt Strike首先需要创建一个Listener,依次点击 Cobalt Strike->Listeners ，然后点击Add便可以创建自己想要的Listeners了，Cobalt Strike3.8包括

• windows/beacon_dns/reverse_dns_txt
• windows/beacon_dns/reverse_http
• windows/beacon_http/reverse_http
• windows/beacon_https/reverse_https
• windows/beacon_smb/bind_pipe
• windows/foreign/reverse_dns_txt
• windows/foreign/reverse_http
• windows/foreign/reverse_https
• windows/foreign/reverse_tcp

其中windows/beacon是Cobalt Strike自带的模块，包括dns、http、https、smb四种方式的监听器。windows/foreign 为外部监听器，即Metasploit或者Armitage的监听器。选择监听器以后，host会自动填写我们开启服务时的IP，配置监听端口，然后Save，监听器就创建好了。

创建监听器

image

image

Cobalt Strike包括多种攻击方式，主要分为Packages、Web Drive-by、Spear Phish

Packages

• HTML Application 生成恶意的HTA木马文件
• MS Office Macro 生成office宏病毒文件
• Payload Generator 生成各种语言版本的payload
• USB/CD AutoPlay 生成利用自动播放运行的木马文件
• Windows Dropper 捆绑器，能够对文档类进行捆绑
• Windows Executable 生成可执行exe木马
• Windows Executable(S)生成无状态的可执行exe木马

Web Drive-by（钓鱼攻击）

• Manage对开启的web服务进行管理
• Clone Site 克隆网站，可以记录受害者提交的数据
• Host File 提供一个文件下载，可以修改Mime信息
• PowerShell Web Delivery类似于msf 的web_delivery
• Signed Applet Attack 使用java自签名的程序进行钓鱼攻击
• Smart Applet Attack 自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本
• System Profiler用来获取一些系统信息，比如系统版本，Flash版本，浏览器版本等

Spear Phish（邮件钓鱼）

创建客户端
这里我们选择Packages里的Windows Executable生成木马

点击Generate生成，选择保存路径和文件名

将生成的木马放到靶机运行，可以看到迅速上线了

此时我们浏览一下主机上的文件

可以看到中文是乱码的，下面开始解决乱码问题。GitHub地址：https://github.com/Ridter/CS_Chinese_support

使用压缩工具打开 cobaltstrike.jar，替换beacon目录下的 BeaconC2.class 以及 TaskBeacon.class，替换server目录下的 Beacons.class即可。替换完后重新启动Cobalt Strike浏览文件

可以看到中文已经能正常回显