Cobalt Strike系列教程分享如約而至,新關注的小伙伴可以先回顧一下前面的內容:
今天我們將繼續分享Cobalt Strike系列教程的其他章節內容,希望對大家的學習有所幫助,快速提升實用技能。
文件/進程管理與鍵盤記錄
文件管理
1、基礎管理
選擇一個會話,右鍵,目標-->文件管理
Upload為上傳一個文件,Make Directory為創建文件夾,List Drives為列出盤符,refresh為刷新。
2、下載文件
需要使用文件管理功能,然后右鍵download。
點擊菜單欄上方的文件下載按鈕。
點擊sync files,配置保存路徑即可下載文件。
3、執行或刪除文件
執行文件點擊execute后會彈出一個窗口,要求你輸入要執行程序的參數,這邊按你的要求填寫就行,不需要參數的話就不填。
進程管理
1、進入進程管理
選擇一個beacon,右鍵,目標-->進程列表。
進程列表中,kill為關閉程序,refresh為刷新進程列表,inject則是把beacon注入進程,Log Keystrokes為鍵盤記錄,Stea Token為竊取運行指定程序的用戶令牌。
簡單的功能就不贅述了,先講一下進程注入(inject),鍵盤記錄(Log Keystrokes)。
2、進程注入
該功能可以把你的beacon會話注入到另外一個程序之中,注入后,即使你原來的后門進程被關閉,你依然可以手握目標機的權限。
選擇進程,點擊inject,隨后選擇監聽器,點擊choose,即可發現Cobaltstrike彈回了目標機的一個新會話,這個會話就是成功注入到某進程的beacon。
3、鍵盤記錄
選擇好進程后(可ctrl多選),點擊Log Keystrokes,然后再點擊菜單欄上的“鍵盤記錄”按鈕。
如圖,成功get到目標機的鍵盤記錄。
端口掃描與Net View
端口掃描
右鍵一個beacon,選擇目標-->端口掃描。
或在beacon中使用命令portscan [ip] 命令。
隨后Cobaltstrike會自動識別目標機所在的內網ip段,可選擇ARP,ICMP,none三種方式進行掃描,ports中填入你要掃描的端口。
掃描后的結果,會在beacon中輸出,或可在目標視圖中查看到:
Net View
選擇一個beacon,右鍵,目標-->Net View,或在beacon中使用命令Net View。
如圖,beacon中輸出了Net View的信息。
