Cobalt Strike详细使用教程

Cobalt Strike安装教程这里就不在赘述了

Cobalt Strike安装教程

监听器 listner：

创建监听器

Add
添加新的监听edit
编辑已有监听remove
删除监听restart
重启监听

要添加监听器可以点击Add，这里的监听器根据所通过的协议和监听器位置分为8种

不同监听介绍：

1.beacon dns
2.beacon http
3.beacon https
4.beacon smb
5.beacon tcp
6.external c2
7.foreign reverse_http
8.foreign reverse_https

这里选择不同协议的监听器就是让这个beacon通过不同的协议和方式去出口网络

beacon dns
beacon dns通过使用dns来进行通信，传达命令，攻击机将请求信息这些通过dns域名中转发送给被攻击者

DNS host中填入所用到的dns域名，host(stager) 处也同样填入dns域名信息，port处填入端口，用于重定向

beacon http
通过http来进行通信，传达命令

http hosts 和 http host(stager) 都填写攻击机的ip或C2域名，http port处填写端口，bind处的端口用于绑定web服务端口，一般用于重定向，host header用于域前置技术，用于隐藏C2，proxy 用于代理设置

beacon https
通过https来进行通信，传达命令，和http的区别在于https加密了信息

beacon smb

beacon smb使用命名管道进行通信，将流量封装在smb协议里，smb这个一般不用于直接生成可用载荷，一般结合PsExec 或 stageless payload使用

beacon tcp

通过tcp协议进行通信，可以通过cobaltstrike里的stageless payload去运行，其他的和beacon smb 差不多，但是tcp的可以直接生成载荷去运行

external c2

external c2允许第三方程序充当cobaltstrike的teamserver 和beacon之间处理C2通信的接口，通常用于目标无法出网的情况，第三方程序使用外置的C2服务器和cobaltstrike服务器交互

foreign reverse_http
把会话信息传递给msf，将目标权限通过http的方式传给msf

foreign reverse_https
和foreign reverse_http利用方式类似，只不过通过https去传递会话信息

木马：

生成后门

常用生成后门方法有

HTML Application

MS Office Macro

Payload Generator

Windows Executable

Windows Executables

HTML Application

一个html应用程序类型的后门，有三种文件生成方式，分别为VBA，Powershell，Executable这三种方式

MS Office Macro

MS Office Macro生成一个宏文件，该宏文件用于嵌入Microsoft word 或 Microsoft execl文件里，生成该宏文件并提供嵌入的方法

首先选择MS Office Macro

选择好监听器

直接生成利用的代码

复制下来，然后放到文档的宏里去，在文档里启用该宏，得到会话

Payload Generator

使用不同的格式语言导出cobaltstrike的shellcode，然后使用其他语言去编译生成，
使用时选择好监听器，并选择不同的输出格式

选择监听器，再选择相应输出的语言，看版本勾选X64

Windows Executable

生成一个可执行的exe木马

选择好监听器和输出的文件格式

分别有

windows exe，windows server exe，windwos DLL 32位，windwos DLL 64位

windows exe
生成一个windwos可执行文件

windows server exe
windows server exe也是一个windwos可执行文件，和上面的区别在于，windows server exe可响应Service Control Manager 命令，windows server exe可作为服务器自启动的exe,而一般生成的windows exe则不能

windwos DLL 32位，windwos DLL 64位
分别生成不同位数的dll文件
生成的dll文件可以通过捆绑等方式进行利用

Windows ExecutableS

和Windows Executable区别在于，它是直接导出一个beacon,这个beacon是直接写好的32或64位的dll，直接和监听器连接，传输数据和命令，它还可以导出powershell脚本，还可以通过raw选项调出.bin 文件

生成payload，目标机点击触发上线

钓鱼攻击

cobaltstrike里有多种钓鱼攻击的方式，适用于不同环境

克隆网站

通过克隆复制站点，诱使受害者访问
克隆网址：添加目标站点的URL，此处需要添加完整的url，包含http协议和端口
local url：本地站点的克隆路径
local host：本地站点主机ip
local port：本地站点端口
Attack: 此处用于添加克隆站点后执行的漏洞脚本

点击clone后，会返回生成的克隆站点地址，然后访问就会显示克隆后的网页

开启键盘记录后就可以在web日志中看到输入记录

attack处可以结合Scripted Web Delivery攻击，通过Scripted Web Delivery生成的payload来在克隆站点添加payload去攻击，也可以通过在生成后门处的HTML Application
生成一个后门去结合使用

文件下载

作用是提供一个文件管理，并且我们可以修改里面的mine信息，上传的文件会发送到团队服务器里，供团队成员使用
实际使用时，可以上传后门等攻击文件，结合克隆站点里的attack使用

Scripted Web Delivery

生成一个payload(类似Windows Executable生成的)，放在cobaltstrike的服务器上，并生成一个下载运行的命令语句，方式有powershel，python, bitsadmin(windows下载命令)

以powershell举例

目标机执行后，就会从设置的cobaltstrike的服务器的站点上下载并运行，生成新的会话

签名applet攻击

启动一个web服务器来托管一个自签名的java applet，被攻击者会被提示给这个applet权限来运行，一但允许就可以获得权限

智能攻击

在一个程序里包含多种漏洞利用方式，启动一个web服务器去托管applet，可以分析环境并决定使用哪种漏洞利用方式

信息收集

可以收集被攻击机的信息

邮件钓鱼

targets
选择保存有发送目标的文档

tmplate
邮件模板，在邮箱里导出一个邮件文件

attachment
附件，可以通过上传恶意附件来进行攻击，典型的可以通过和MS Office Macro结合发送恶意的word文档来结合攻击

Embed URL
需要嵌入的站点地址，此处可嵌入钓鱼站点的地址

Mail server
用于配置smtp邮件服务，用于向邮件服务器进行身份验证，或将邮件服务器设置为目标的开放中继或邮件交换记录

SMTP Host和Port填入邮件服务器地址，端口
Username和password处填入用户名和密码
Random Delay处填入设置的延时发送邮件时间

Bounce to
用于模仿发件人，提高钓鱼的成功率

设置完之后就可以发送进行攻击了

执行

首先看执行处所有的功能

执行处的功能分别有

转储HASH，提权，黄金票据，制作令牌，one-liner，run mimikatz（运行mimikatz），spawn As（用其他用户去生成cobaltstrike监听器）

转储HASH

这里的转储HASH就是获取hash值

提权

这里的提权利用了各种方式来提权，选择好相应的监听器和exploit进行提权

黄金票据

用于生成黄金票据，填入通过mimikatz得到的数据，去生成黄金票据

制作令牌

在当前的beacon上进行身份伪造，填入用户名，密码和Domain值来制作token

one-liner

为PowerShell one liner功能的会话。在beacon中承载一个运行有效负载的powershell脚本
powershell one-liner通常用于管理文件系统，选择监听器，随后会生成一段powershell命令，放到目标靶机上去运行，得到会话，在cobaltstrike通过beacon去运行powershell命令

运行mimikatz,，会直接运行mimikatz得到结果，得到靶机的数据

spawn As

用于获取beacon后获取一个新的beacon，防止权限丢失，还可以和msf，empire等工具结合使用，填入信息，选择监听器，得到新的beacon