介紹
Cobalt Strike 一款以 Metasploit 為基礎的 GUI 框架式滲透測試工具,集成了端口轉發,服務掃描,自動化溢出,多模式端口監聽,exe,powershell木馬生成,office宏病毒等。
Cobalt Strike 主要用於團隊作戰,可謂是團隊滲透神器,能讓多個攻擊者同時連接到團體服務器上,共享攻擊資源與目標信息和sessions。
Cobalt Strike 作為一款協同APT工具,針對內網的滲透測試和作為apt的控制終端功能,使其變成眾多APT組織的首選。
安裝
Cobalt Strike 分為客戶端和服務端,服務端只能有一個,客戶端可以有多個,可分布式操作、協同作戰,服務器端需要有一個公網IP,可搭建在VPS上。
1.服務端
服務端關鍵的文件是teamserver以及cobaltstrike.jar,將這兩個文件放到服務器上同一個目錄,然后運行:
chmod +x teamserver
./teamserver 公網ip 連接密碼 # 服務端真實IP(不能使用0.0.0.0或127.0.0.1)和連接密碼
服務端默認連接端口為50050,修改默認端口只需修改teamserver文件中 .server_port 字段
2.客戶端
客戶端在 Windows、Linux、Mac 下都可以運行 (需要配置好Java環境)。啟動 Cobalt Strike 客戶端,輸入服務端的IP以及端口、連接密碼,用戶名可以任意設置。
3.參數詳情
Cobalt Strike
New Connection #創建新連接(支持連接多個服務器端)
Preferences #偏好設置(設置CobalStrike界面、控制台、以及輸出報告樣式、TeamServer連接記錄等)
Visualization #窗口可視化模式(展示輸出結果的形式)
VPN Interfaces #VPN接入
Listenrs #監聽器(創建Listener)
Script Manager #腳本管理
Close #關閉
View
Applications #應用(顯示受害者機器的應用信息)
Credentials #憑證(通過hashdump或Mimikatz抓取過的密碼都會儲存在這里)
Downloads #下載文件
Event Log #事件日志(主機上線記錄以及團隊協作聊天記錄)
Keystrokes #鍵盤記錄
Proxy Pivots #代理模塊
Screenshots #截圖
Script Console #腳本控制台(可以加載各種腳本,增強功能https://github.com/rsmudge/cortana-scripts)
Targets #顯示目標主機
Web Log #Web日志
Attacks
1.Packages
HTML Application #生成惡意的HTA木馬文件
MS Office Macro #生成office宏病毒文件
Payload Generator #生成各種語言版本的payload
USB/CD AutoPlay #生成利用自動播放運行的木馬文件
Windows Dropper #捆綁器,能夠對文檔類進行捆綁
Windows Executable #生成可執行Payload
Windows Executable(S) #包含payload,Stageless生成可執行文件(包含多數功能),生成文件較大但功能齊全
2.Web Drive-by
Manage #對開啟的web服務進行管理
Clone Site #克隆網站(可記錄受害者提交的數據)
Host File #提供Web以供下載某文件
Scripted Web Delivery #提供Web服務,便於下載和執行PowerShell Payload,類似於Metasploit的web_delivery
Signed Applet Attack #啟動一個Web服務以提供自簽名Java Applet的運行環境
Smart Applet Attack #自動檢測Java版本並利用已知的exploits繞過security
System Profiler #用來獲取一些系統信息,比如系統版本,Flash版本,瀏覽器版本等
Reporting
Activity report #活動報告
Hosts report #主機報告
Indicators of Compromise #威脅報告
Sessions report #會話報告
Social engineering report #社會工程學報告
Tactics, Techniques, and Procedures #策略、技巧和程序
Reset Data #重置數據
Export Data #導出數據