Cobalt Strike使用练习

# Cobalt Strike使用练习

使用cs4.2版本

## cs简介

Cobalt Strike一款以Metasploit为基础的GUI（用户图形化界面）框架式渗透测试工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，exe、powershell木马生成等。
钓鱼攻击包括:站点克隆，目标信息获取，java执行，浏览器自动攻击等。
Cobalt Strike主要用于团队做战，可谓是团队渗透神器，能让多个攻击者同时链接到团体服务器上，共享攻击资源与目标信息和sessions。
Cobalt Strike 做为一款协同APT(高级长期威胁)工具，针对内网的渗透测试和做为apt的控制终端功能，使其变成众多APT组织的首选。

## cs登陆

如今kali虚拟机下解压文件，赋予解压后文件夹权限给777权限，进入解压后的文件运行终端

输命令：./teamserver 192.168.3.36 qweqwe   //192.168.3.36是kali虚拟机的ip，qweqwe是等下客户端的链接密码


去w10客户端运行cobaltstrike.bat文件，输入刚刚设置的密码，注意ip地址是kali的ip，端口默认是50050


登陆成功后的界面：

<img src="C:\Users\XXY\Desktop\培训笔记\截图\3.PNG" alt="3" style="zoom:60%;" />

注意：登陆的用户名不能同样，不然登陆不上去

## 建立监听器





这里cs版本之间的区别较大。上面图是4.2的cs，下面图是3.14的cs。payload区别:Beacon是ms能够直接用，Foreign则是要联合msf来用。填写相关信息后提交，生成一个监听器。


## cs攻击模块(Attacks)

### package内容

HTML Application  生成恶意的HTA木马文件
MS Office Macro  生成office宏病毒文件
Payload Generator  生成各类语言版本的payload
USB/CD Autoplay  生成利用自动播放运行的木马文件
Windows Dropper  捆绑器，可以对文档类进行捆绑
Windows Executable  生成可执行exe木马
Windows Executable (s)  生成无状态的可执行exe木马

- HTML Application(生成恶意的HTA木马文件)


Attracks子菜单里的HTML Application模块，选择刚刚建立的第一次这个监听器，同时选择PowerShell这个方法点击Generate


选择地方保存hta文件，上图即成功生成木马文件。将该文件发送到被攻击w7虚拟机双击，可看到该机已上线。


若是没有成功，能够换另外的方法生成木马文件进行尝试。下线的步骤：右键，有一个session，里面有一个remove，再去靶机删除该进程，若是不删除进程会反复上线，为后面的实验形成干扰。

- Windows Executable  生成可执行exe木马

一样点到该模块的建立界面，选中监听器，选择保存位置，成功建立


将生成好的木马文件上传到靶机，双击运行后靶机上线







### 靶机上线后简单用法

上线后一排的介绍：pid为靶机的进程编号，last为刷新时间，默认为60秒，即每隔60秒发送一次命令，能够经过右键sleep处修改也能够用下面的命令行修改

在下面输命令的地方输：shell whoami 便可看见信息









### Web Drive-by内容

Attacks-Web Drive-byManag  对开启的web服务进行管理
Clone Site  克隆网站，能够记录受害者提交的数据
Host File  提供一个文件下载，能够修改Mime信息
Scripted Web Delivery  相似于msf的web_delivery
Signed Applet Attack  使用Java自签名的程序进行钓鱼攻击
Smart Applet Attack  自动检测Java版本并进行攻击
System Profiler  用来获取一些系统信息,好比系统版本，浏览器版本等