简介

cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端。

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。

CS与MSF

metasploit是一款开源框架,armitage是metasploit框架的图形化界面方式, cobalt strike是armitage的增强版,同时也是收费软件。cobalt strike在2.0版本还是依托metasploit,在3.0之后的版本使用单独的平台。

目录结构

agscript:拓展应用的脚本

c2lint:用于检查profile的错误异常

teamserver:服务端程序

cobaltstrike,cobaltstrike.jar:客户端程序(java跨平台)

logs:目录记录与自标主机的相关信息

update,update.jar:用于更新CS

third-party:第三方工具

安装使用

1、下载安装包

2、将整个包移到服务器(teamserver只能在Linux上运行)

3、给teamserver+x(可执行权限)

4、启动服务器(修改默认端口vim teamserver –> 最后,可以改端口)

1
./teamserver <host ip> <passwd>

5、客户端打开bat或sh

功能点

Atacks

  • Packages

    • HTML Application:生成.hta HTML应用程序
    • MS Office Macro:生成恶意宏放入office文件
    • Payload Generator:生成各种语言版本的payload
    • Windows Executable:可执行文件默认x86勾选x64表示包含x64
    • Windows Executable(S):stageless生成全功能被控端

  • Web Drive-By

    • Manage:管理当前Team Server开启的所有web服务Clone Site克隆某网站
    • Host File:在Team Server的某端口提供Web以供下载某文件
    • Scripted Web Delivery:为payload提供web服务以便于下载和执行
    • Signed Applet Attack:启动一个Web服务以提供自签名Java Applet的运行环境
    • Smart Applet Attack:自动检测Java版本并利用已知的exploits绕过security sandbox
    • System Profiler:用来获取系统信息:系统版本,Flash版本,浏览器版本等

  • Spear Phish:鱼叉钓鱼邮件功能

右键

  • Interact:交互

  • Access

    • Dump Hashes
    • Elevate:提权
    • Golden Ticket
    • Make Token
    • One-liner
    • Run Mimikatz
    • Spawn As

  • Explore

    • Browser Povot
    • Desktop(VNC)

一般很卡,带宽不够

    • File Browser
    • Net View
    • Port Scan
    • Process List
    • Screenshot

  • Pivoting

  • Spawn

  • Session