**

Cobalt Strike 4.0-滲透攻擊-First day(dayu)

**

作者：大余
時間：2020-10-30

請注意：對于所有筆記中復現的這些終端或者服務器，都是自行搭建的環境進行滲透的，我將使用Kali Linux作為此次學習的攻擊者機器，這里使用的技術僅用于學習教育目的，如果列出的技術用于其他任何目標，我概不負責，

我必須再重申一遍：務必不要做未授權測驗！不要未經授權在真實網路環境中復現任何文章中描述的攻擊，即使是出于好奇而不是惡意，你仍然會因未授權測驗行為而陷入很多麻煩，為了個人能更好的繼續學習發展，有很多漏洞獎勵計劃和靶場可以供你學習試驗，但是請記住，即使是參加漏洞獎勵計劃，私自測驗范圍外的網站或對網站進行深入破壞也會讓你有大麻煩，

一、前言

Cobalt Strike 一款以Metasploit為基礎的GUI框架式滲透測驗工具，集成了埠轉發、服務掃描，自動化溢位，多模式埠監聽，exe、powershell木馬生成等，

釣魚攻擊包括：站點克隆，目標資訊獲取，java執行，瀏覽器自動攻擊等，

Cobalt Strike 主要用于團隊作戰，可謂是團隊滲透神器，能讓多個攻擊者同時連接到團體服務器上，共享攻擊資源與目標資訊和sessions，

Cobalt Strike 作為一款協同APT工具，針對內網的滲透測驗和作為apt的控制終端功能，使其變成眾多APT組織的首選，

此次會使用Cobalt Strike 4.0進行講解了鞏固，

二、模擬實戰

這里需要安裝包的找我即可…（點贊+收藏）

1、目錄結構

熟悉目錄結構內容：

agscript 			拓展應用的腳本
c2lint 				用于檢查 profile 的錯誤例外
teamserver 			服務端程式
cobaltstrike，cobaltstrike.jar 	客戶端程式 (java 跨平臺)
logs 				目錄記錄與目標主機的相關資訊
update，update.jar 	用于更新 CS
third-party 		第三方工具

熟悉這幾個即可…windwos環境一樣…

2、啟動運行

1）Cobalt Strike 分為客戶端和服務端，可分布式操作、協同作戰，服務器端只能運行在Linux系統中，可搭建在VPS上，

2）服務端關鍵的檔案是teamserver以及cobaltstrike.jar，將這兩個檔案放到服務器上同一個目錄，然后運行即可，

服務端：

chmod +x teamserver
./teamserver IP 密碼  
# 服務端真實IP(不能使用0.0.0.0或127.0.0.1)和連接密碼

圖中已啟動服務端IP和密碼五個一…

客戶端：

客戶端在Windows、Linux、Mac下都可以運行 (需要配置好Java環境)，啟動Cobalt Strike客戶端，輸入服務端的IP以及埠、連接密碼，用戶名可以任意設定，

這里windows需要java 8jdk，Linux需要10jdk、mac一樣，這里可以網上找安裝包，沒有的找我，

命令：./start.sh

這里我寫好了.sh的腳本啟動…

在控制臺所有操作指令都會被記錄保留在Cobalt Strike目錄logs下…

成功進入Cobalt Strike 4.0界面

3、引數中文介紹

Cobalt Strike

New Connection 	#新的連接(支持連接多個服務器端)
Preferences 	#偏好設定(設定Cobal Strike界面、控制臺、以及輸出報告樣式、TeamServer連接記錄等)
Visualization 	#視窗視圖模式(展示輸出結果的形式)
VPN Interfaces 	#VPN接入
Listenrs 		#監聽器(創建Listener)
Script Manager 	#腳本管理
Close 			#關閉

View

Applications 	#應用(顯示受害者機器的應用資訊)
Credentials 	#憑證(通過hashdump或Mimikatz抓取過的密碼都會儲存在這里)
Downloads 		#下載檔案
Event Log		#事件日志(主機上線記錄以及團隊協作聊天記錄)
Keystrokes 		#鍵盤記錄
Proxy Pivots 	#代理模塊
Screenshots 	#截圖
Script Console 	#腳本控制臺
Targets 		#顯示目標主機
Web Log 		#Web日志

對于深入后期我都會寫，這里提下腳本控制臺這塊：

可以加載各種腳本，增強功能https://github.com/rsmudge/cortana-scripts

Attacks

Attacks-Packages：

HTML Application 	#生成惡意的HTA木馬檔案
MS Office Macro 	#生成office宏病毒檔案
Payload Generator 	#生成各種語言版本的payload
USB/CD AutoPlay 	#生成利用自動播放運行的木馬檔案
Windows Dropper 	#捆綁器，能夠對檔案類進行捆綁
Windows Executable 	#生成可執行Payload
Windows Executable(S) #把包含payload,Stageless生成可執行檔案(包含多數功能)

Attacks-Web Drive-by：

Scripted Web Delivery 	#提供Web服務，便于下載和執行PowerShell Payload，類似于Metasploit的web_delivery 
Signed Applet Attack 	#啟動一個Web服務以提供自簽名Java Applet的運行環境
Smart Applet Attack 	#自動檢測Java版本并利用已知的exploits繞過security
System Profiler 		#用來獲取一些系統資訊，比如系統版本，Flash版本，瀏覽器版本等

Attacks-Spear Phish：

釣魚郵件，這里后期會盡可能的模擬復現…

Reporting

0. Activity report 			#活動報告
1. Hosts report 			#主機報告
2. Indicators of Compromise #威脅報告
3. Sessions report 			#會話報告
4. Social engineering report #社會工程學報告
5. Tactics, Techniques, and Procedures #策略、技巧和程式  
Reset Data 					#重置資料
Export Data 				#匯出資料

Help

Homepage 	#官方主頁
Support 	#技術支持
Arsenal 	#開發者
System information #版本資訊
About 		#關于

串列引數介紹已經完了…

4、簡單的一次控制

復現

環境：

kali：192.168.175.147

win7：192.168.175.145

開啟個監聽

點擊add創建即可…

選擇生成后門-創建win.exe-payload…

創建好后…

選擇一個釣魚鏈接…


復制該鏈接到需要控制的靶機上下載即可…

下載好后，直接雙擊…

可看到已經成功獲得對方的shell，成功控制對方電腦…

深入標題介紹

Access

Dump Hashes 	#獲取hash
Elevate 		#提權
Golden Ticket 	#生成黃金票據注入當前會話
Make token 		#憑證轉換
Run Mimikatz 	#運行 Mimikatz 
Spawn As 		#用其他用戶生成Cobalt Strike偵聽器

Explore

Browser Pivot 	#劫持目標瀏覽器行程
Desktop(VNC) 	#桌面互動
File Browser 	#檔案瀏覽器
Net View 		#命令Net View
Port Scan 		#埠掃描
Process List 	#行程串列
Screenshot 		#截圖

Pivoting

SOCKS Server 	#代理服務
Listener 		#反向埠轉發
Deploy VPN 		#部署VPN

Spawn

外部監聽器(如指派給MSF，獲取meterpreter權限)

Session

Note 		#備注
Remove 		#洗掉
Sleep 		#指定被控端休眠時間，默認60秒一次回傳，讓被控端每10秒來下載一次任務，實際中頻率不宜過快,容易被發現，
Exit 		#退出

Interact(打開beacon)

beacon> help

Beacon Commands
===============

Command                   Description
-------                   -----------
argue                     行程引數欺騙
blockdlls                 阻止子行程加載非Microsoft DLL
browserpivot              注入受害者瀏覽器行程
bypassuac                 繞過UAC提升權限
cancel                    取消正在進行的下載
cd                        切換目錄
checkin                   強制讓被控端回連一次
clear                     清除beacon內部的任務佇列
connect                   Connect to a Beacon peer over TCP
covertvpn                 部署Covert VPN客戶端
cp                        復制檔案
dcsync                    從DC中提取密碼哈希
desktop                   遠程桌面(VNC)
dllinject                 反射DLL注入行程
dllload                   使用LoadLibrary將DLL加載到行程中
download                  下載檔案
downloads                 列出正在進行的檔案下載
drives                    列出目標盤符
elevate                   使用exp
execute                   在目標上執行程式(無輸出)
execute-assembly          在目標上記憶體中執行本地.NET程式
exit                      終止beacon會話
getprivs                  Enable system privileges on current token
getsystem                 嘗試獲取SYSTEM權限
getuid                    獲取用戶ID
hashdump                  轉儲密碼哈希值
help                      幫助
inject                    在注入行程生成會話
jobkill                   結束一個后臺任務
jobs                      列出后臺任務
kerberos_ccache_use       從ccache檔案中匯入票據應用于此會話
kerberos_ticket_purge     清除當前會話的票據
kerberos_ticket_use       Apply 從ticket檔案中匯入票據應用于此會話
keylogger                 鍵盤記錄
kill                      結束行程
link                      Connect to a Beacon peer over a named pipe
logonpasswords            使用mimikatz轉儲憑據和哈希值
ls                        列出檔案
make_token                創建令牌以傳遞憑據
mimikatz                  運行mimikatz
mkdir                     創建一個目錄
mode dns                  使用DNS A作為通信通道(僅限DNS beacon)
mode dns-txt              使用DNS TXT作為通信通道(僅限D beacon)
mode dns6                 使用DNS AAAA作為通信通道(僅限DNS beacon)
mode http                 使用HTTP作為通信通道
mv                        移動檔案
net                       net命令
note                      備注       
portscan                  進行埠掃描
powerpick                 通過Unmanaged PowerShell執行命令
powershell                通過powershell.exe執行命令
powershell-import         匯入powershell腳本
ppid                      Set parent PID for spawned post-ex jobs
ps                        顯示行程串列
psexec                    Use a service to spawn a session on a host
psexec_psh                Use PowerShell to spawn a session on a host
psinject                  在特定行程中執行PowerShell命令
pth                       使用Mimikatz進行傳遞哈希
pwd                       當前目錄位置
reg                       Query the registry
rev2self                  恢復原始令牌
rm                        洗掉檔案或檔案夾
rportfwd                  埠轉發
run                       在目標上執行程式(回傳輸出)
runas                     以其他用戶權限執行程式
runasadmin                在高權限下執行程式
runu                      Execute a program under another PID
screenshot                螢屏截圖
setenv                    設定環境變數
shell                     執行cmd命令
shinject                  將shellcode注入行程
shspawn                   啟動一個行程并將shellcode注入其中
sleep                     設定睡眠延遲時間
socks                     啟動SOCKS4代理
socks stop                停止SOCKS4
spawn                     Spawn a session 
spawnas                   Spawn a session as another user
spawnto                   Set executable to spawn processes into
spawnu                    Spawn a session under another PID
ssh                       使用ssh連接遠程主機
ssh-key                   使用密鑰連接遠程主機
steal_token               從行程中竊取令牌
timestomp                 將一個檔案的時間戳應用到另一個檔案
unlink                    Disconnect from parent Beacon
upload                    上傳檔案
wdigest                   使用mimikatz轉儲明文憑據
winrm                     使用WinRM橫向滲透
wmi                       使用WMI橫向滲透

5、基礎操作演示

右鍵目標interact來使用Beacon，用它來執行各種命令，在Cobalt Strike中，默認心跳為60s，執行命令的回應很慢，在下載檔案時更加明顯，所以根據實戰環境把時間降低，建議不要太快，否則流量會相對明顯，

在beacon中，如果想對目標進行命令管理，需要在前面加上shell，如shell whoami、shell ipconfig等…

今天簡單的講解了入門級，簡單的操作可自行搭建靶機操作…

后面會越來越深入的學習Cobalt Strike 4.0…加油！！

要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人，