CobaltStrike简介

Cobalt Strike是一款内网渗透测试神器,常被业界人称为CS。Cobalt Strike 2.0版本主要是结合Metasploit可以称为图形化MSF工具。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。客户端模式和服务端模式可以在Windows以及Linux上运行

Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等

#

Cobalt Strike架构

文件结构

│ agscript 拓展应用的脚本
│ c2lint 检查profile的错误异常
│ cobaltstrike
│ cobaltstrike.jar 客户端程序
│ icon.jpg
│ license.pdf
│ readme.txt
│ releasenotes.txt
│ teamserver 服务端程序
│ update
│ update.jar

└─third-party 第三方工具
README.vncdll.txt
vncdll.x64.dll
vncdll.x86.dll

Mac 上安装CobaltStrike

Team Server

Cobalt Strike 分为客户端和服务器端。该服务器端被称为团队服务器,是 Beacon 有效负载的控制器,同时 Cobalt Strike 也具有社会工程学功能。团队 服务器还存储 Cobalt Strike 收集的数据,并管理日志记录。

首先我们需要把Cobalt Strike上传到VPS上,这里用的是FinalShell 在Mac上非常方便

Cobalt Strike 团队服务器必须以 root 身份运行在所支持的操作系统上。启动 Cobalt Strike 团队服务器,可以使用 Cobalt Strike Linux 软件包附带的 teamserver 脚本

1
2
chmod a+x teamserver
./teamserver vps-ip password

团队服务器有两个必要参数和两个可选参数。第一个是团队服务器的 IP 地址。 Cobalt Strike 使用此值作为其默认的服务器主机。第二个是您的团队成员用于 将 Cobalt Strike 客户端连接到团队服务器的密码

Cobalt Strike Client

Cobalt Strike 客户端连接到团队服务器.要启动 Cobalt Strike 客户端,在此之前我们需要先安装Cobalt Strike Client,直接点击基于Mac的Cobalt Strike Client,然后弹出如下界面

按照正常安装软件的方式直接点击继续,几次之后安装完成

安装完成之后我们启动Cobalt Strike Client,之后将会看到一个连接对话框,如下图,在“host”字段中指定团队服务器的 ip 地址。团队服务器的默认端口是 50050. 很少修改用默认的就好。“user”字段是团队服务器上的用户名称。这里也就用默认的就好。“password”字段是团队服务器的密码,就是我们之前设置的服务器密码

点击 Connect 连接到 Cobalt Strike 团队服务器,如果这是与团队服务器的第一次连接,Cobalt Strike 将询问是否识别此团队服务器的 SSL 证书的 SHA256 哈希值。如果需要,请 点击 OK,Cobalt Strike 客户端将连接到服务器。Cobalt Strike 还会记住这个 SHA256 哈希,以便以后方便连接

点击是连接到 Cobalt Strike 团队服务器

可以通过 Cobalt Strike - > Preferences - > Fingerprints 管理这些哈希值

Cobalt Strike 会跟踪您连接的团队服务器并记住信息。从连接对话框的左 侧选择其中一个团队服务器配置文件,以使用其信息自动填充连接对话框。也可以通过 Cobalt Strike - > Preferences - > Team Servers 修改此连接

参考链接
404Cobalt_Strike_wiki