Cobalt Strike入门使用

0x00 前言

Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS。

0x01 简介

Cobalt Strike自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。

Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

0x02 目录结构

agscript - 拓展应用的脚本
c2lint  - 用于检查profile的错误异常
teamserver  - 服务端程序
cobaltstrike，cobaltstrike.jar - 客户端程序(java跨平台)
 license.pdf - 许可证文件
logs - 目录记录与目标主机的相关信息 
update，update.jar - 用于更新CS 
third-party - 第三方工具

0x03 参数详情

3.1 Cobalt Strike

New Connection   # 新建连接，支持连接多个服务器端
Preferences   # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization   # 主要展示输出结果的视图
VPN Interfaces   # 设置VPN接口
Listenrs   # 创建监听器
Script Manager   # 脚本管理，可以通过AggressorScripts脚本来加强自身，能够扩展菜单栏，Beacon命令行，提权脚本等
Close   # 退出连接

3.2 View

Applications   # 显示受害主机的应用信息
Credentials   # 显示所有以获取的受害主机的凭证，如hashdump、Mimikatz
Downloads   # 查看已下载文件
Event Log   # 主机上线记录以及团队协作聊天记录
Keystrokes   # 查看键盘记录结果
Proxy Pivots   # 查看代理模块
Screenshots   # 查看所有屏幕截图
Script Console   # 加载第三方脚本以增强功能 
Targets   # 显示所有受害主机
Web Log    # 所有Web服务的日志

3.3 Attacks

3.3.1 Packages

HTML Application   # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro   # 生成office宏病毒文件
Payload Generator   # 生成各种语言版本的payload
USB/CD AutoPlay   # 生成利用自动播放运行的木马文件
Windows Dropper   # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
Windows Executable   # 生成可执行exe木马
Windows Executable(Stageless)   # 生成无状态的可执行exe木马

3.3.2 Web Drive-by

Manage   # 对开启的web服务进行管理
Clone Site   # 克隆网站，可以记录受害者提交的数据
Host File   # 提供文件下载，可以选择Mime类型
Scripted Web Delivery   # 为payload提供web服务以便下载和执行，类似于Metasploit的web_delivery 
Signed Applet Attack   # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack   # 自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler   # 用来获取系统信息，如系统版本，Flash版本，浏览器版本等
Spear Phish   # 鱼叉钓鱼邮件

3.3.3 Reporting

Activity Report   # 活动报告
Hosts Report   # 主机报告
Indicators of Compromise   # IOC报告：包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
Sessions Report   # 会话报告
Social Engineering Report   # 社会工程报告：包括鱼叉钓鱼邮件及点击记录
Tactics, Techniques, and Procedures   # 战术技术及相关程序报告：包括行动对应的每种战术的检测策略和缓解策略
Reset Data   # 重置数据
Export Data   # 导出数据，导出.tsv文件格式

3.3.4 Help

Homepage   # 官方主页
Support   # 技术支持
Arsenal   # 开发者
System information   # 版本信息
About   # 关于

3.4 工具栏

1.新建连接
2.断开当前连接
3.监听器
4.改变视图为Pivot Graph(视图列表)
5.改变视图为Session Table(会话列表)
6.改变视图为Target Table(目标列表)
7.显示所有以获取的受害主机的凭证
8.查看已下载文件
9.查看键盘记录结果
10.查看屏幕截图
11.生成无状态的可执行exe木马
12.使用java自签名的程序进行钓鱼攻击
13.生成office宏病毒文件
14.为payload提供web服务以便下载和执行
15.提供文件下载，可以选择Mime类型
16.管理Cobalt Strike上运行的web服务
17.帮助
18.关于

0x04 环境搭建

4.1 下载地址：

• 官方网址

https://www.cobaltstrike.com/

• 百度网盘

链接: https://pan.baidu.com/s/1xvEjPhSTtzkZby7RfnIHcw 
提取码: bk99

4.2 安装步骤

4.2.1 服务端搭建(腾讯云vps)

• 在腾讯云控制台找到服务器，点击右边的登录,再点击立即登录，再输入用户名、登录密码，点击确定，进入服务器

• 使用腾讯云服务器yum 安装 [GNOME Desktop] [Graphical Administration Tools]图像化组件,提示安装大小，回复y

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

• 更新系统运行级别,重启。关闭窗口，去腾讯云控制台

ln -sf lib/systemd/system/runlevel5.target etc/systemd/system/default.target
reboot

• 依然点击登录，输入虚拟MFA设备动态密码确定，使用vnc登录，点击"立即登录"

• 简单选择时区 语言 即可开启图形化Linux

• 打开终端，输入命令查看系统是否有java

java -version

• 打开浏览器在百度网盘下载工具

• 使用终端，运行以下命令

sudo su
输入系统的登录密码
cd tmp/mozilla_a110
ls
mv lswcs4.zip usr/local/
cd usr/local
ls
unzip lswcs4.zip

• 使用终端进入cs文件夹，输入以下命令赋予权限

cd urs/local/lswcs4/
ls
chmod a+x teamserver
chmod a+x cobaltstrike.jar

• 现在关闭这个窗口，去控制台点击"登录"，用标准登录方式登录。(注：因为一些特殊的符号不能在"vnc登录"里运行)

• 运行以下命令，启动cs服务端

cd usr/local/lswcs4
ls   
./teamserver vps公网IP 密码(密码自己搞一个)

注：如果未能连接，那就是因为端口问题，输入以下命令

netstat -lnpt   （查看端口）
firewall-cmd --permanent --add-port=50050/tcp    （允许50050端口放行）
firewall-cmd --reload

4.2.2 客户端搭建(kali) 

• 下载文件后，在端口使用以下命令

sudo su
密码
mv tmp/mozilla_a110/lswcs4.zip usr/local/ 
cd usr/local/
ls
unzip lswcs4.zip
ls

• 进入lswcs4文件夹，运行以下命令，启动cs客户端

cd usr/local/lswcs4/
ls
java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

• 输入vps的公网ip,再输入服务器密码。点击"Connect"。弹出窗口，点击"是"。完成客户端搭建。

4.2.3 后台运行cs服务端

• 使用命令安装screen工具

yum install screen

• 常用screen参数

screen -S session_name              # 新建一个叫session_name的session
screen -ls（或者screen -list）      # 列出当前所有的session
screen -r session_name               # 回到session_name这个session
screen -d session_name               # 远程detach某个session
screen -d -r session_name            # 结束当前session并回到session_name这个session
screen -XS session_name  quit     #杀死名为seesion_name的screen

• 创建后台程序窗口,在这个窗口启动cs服务端

screen -S cs
cd /usr/local/lswcs4/
./teamserver vps公网IP 密码

• 使用键盘上的按键，(注意：不是命令,就是键盘上的三个键，长按ctrl ，再按a，然后按d)

Ctrl+a+d

• 查看当前后台窗口，完成连接。

screen -ls

0x05 功能演示

5.1 信息收集

• 打开信息收集功能

• 我选择的模版是百度

• 攻击对象访问：http://192.xxx.xx.xx:80/百度

• 通过各种方法，把链接发给对方，让对方点击，跳转到百度页面

• 在cs的视图->应用信息里能看见钓到的信息

5.2 克隆模块和克隆网站进行键盘记录攻击

• 打开cs，攻击->钓鱼攻击->克隆网站模块

• 克隆网址可以是http和https的URL，勾选在克隆站点上进行键盘记录，端口也要更改一下

• 打开浏览器，输入http://192.xxx.xx.xx:801/ ，再输入账号、密码

• 打开cs，视图->日志log功能，能看见登录页面的操作情况，记录了输入键盘的信息

5.3 克隆网址下载执行木马

• 创建监听器Listener

CobaltStrike的内置监听器为Beacon，外置监听器为Foreign。CobaltStrike的Beacon支持异步通信和交互式通信。点击cobalt strike->监听器->选择add

name：为监听器名字，可任意
payload：payload类型
HTTP Hosts: shell反弹的主机，也就是我们kali的ip
HTTP Hosts(Stager): Stager的马请求下载payload的地址
HTTP Port(C2): C2监听的端口

• 出现下图弹窗说明监听器设置成功，并且正在监听

• 生成windows executable后门木马，点击攻击->生成后门->windows executable

• 选择已生成的监听器

• 勾选X64：目标系统是64位，需要勾选。

• 生成的木马保存到root

• 保存成功后会有如下提示

• 点击Attacks->Web Drive-by->Host File，弹出窗口，选择刚刚生成的木马文件，点击Launch生成下载链接

• 生成恶意链接，点击Attacks->Web Drive-by->clone site

• 按照以下步骤，克隆百度页面

• 使用靶机打开，可以看见提示下载exe文件，点击运行

• 执行exe文件后，靶机成功上线

• 点击查看视图的图标，看见上线主机的信息为管理员

0x06 总结

Cobalt strike有非常多的功能，在这里也只是学习了小部分，如有错误，欢迎各位师傅指正。