Cobalt Strike使用练习
作者:互联网
# Cobalt Strike使用练习
使用cs4.2版本
## cs简介
Cobalt Strike一款以Metasploit为基础的GUI(用户图形化界面)框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。
钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。
Cobalt Strike主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。
Cobalt Strike 作为一款协同APT(高级长期威胁)工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。
## cs登录
现在kali虚拟机下解压文件,赋予解压后文件夹权限给777权限,进入解压后的文件运行终端
输命令:./teamserver 192.168.3.36 qweqwe //192.168.3.36是kali虚拟机的ip,qweqwe是等下客户端的连接密码
![一](C:\Users\XXY\Desktop\培训笔记\截图\一.PNG)
去w10客户端运行cobaltstrike.bat文件,输入刚刚设置的密码,注意ip地址是kali的ip,端口默认是50050
![2](C:\Users\XXY\Desktop\培训笔记\截图\2.PNG)
登录成功后的界面:
<img src="C:\Users\XXY\Desktop\培训笔记\截图\3.PNG" alt="3" style="zoom:60%;" />
注意:登录的用户名不能一样,否则登录不上去
## 创建监听器
![4](C:\Users\XXY\Desktop\培训笔记\截图\4.PNG)
![5](C:\Users\XXY\Desktop\培训笔记\截图\5.PNG)
这里cs版本之间的区别较大。上面图是4.2的cs,下面图是3.14的cs。payload区别:Beacon是ms可以直接用,Foreign则是要联合msf来用。填写相关信息后提交,生成一个监听器。
![6](C:\Users\XXY\Desktop\培训笔记\截图\6.PNG)
## cs攻击模块(Attacks)
### package内容
HTML Application 生成恶意的HTA木马文件
MS Office Macro 生成office宏病毒文件
Payload Generator 生成各种语言版本的payload
USB/CD Autoplay 生成利用自动播放运行的木马文件
Windows Dropper 捆绑器,能够对文档类进行捆绑
Windows Executable 生成可执行exe木马
Windows Executable (s) 生成无状态的可执行exe木马
- HTML Application(生成恶意的HTA木马文件)
![7](C:\Users\XXY\Desktop\培训笔记\截图\7.PNG)
Attracks子菜单里的HTML Application模块,选择刚刚创建的第一次这个监听器,同时选择PowerShell这个方法点击Generate
![8](C:\Users\XXY\Desktop\培训笔记\截图\8.PNG)
选择地方保存hta文件,上图即成功生成木马文件。将该文件发送到被攻击w7虚拟机双击,可看到该机已上线。
![9](C:\Users\XXY\Desktop\培训笔记\截图\9.PNG)
如果没有成功,可以换另外的方法生成木马文件进行尝试。下线的步骤:右键,有一个session,里面有一个remove,再去靶机删除该进程,如果不删除进程会反复上线,为后面的实验造成干扰。
- Windows Executable 生成可执行exe木马
同样点到该模块的创建界面,选中监听器,选择保存位置,成功创建
![10](C:\Users\XXY\Desktop\培训笔记\截图\10.PNG)
将生成好的木马文件上传到靶机,双击运行后靶机上线
### 靶机上线后简单用法
上线后一排的介绍:pid为靶机的进程编号,last为刷新时间,默认为60秒,即每隔60秒发送一次命令,可以通过右键sleep处修改也可以用下面的命令行修改
在下面输命令的地方输:shell whoami 即可看见信息
### Web Drive-by内容
Attacks-Web Drive-byManag 对开启的web服务进行管理
Clone Site 克隆网站,可以记录受害者提交的数据
Host File 提供一个文件下载,可以修改Mime信息
Scripted Web Delivery 类似于msf的web_delivery
Signed Applet Attack 使用Java自签名的程序进行钓鱼攻击
Smart Applet Attack 自动检测Java版本并进行攻击
System Profiler 用来获取一些系统信息,比如系统版本,浏览器版本等
标签:截图,Users,XXY,练习,Desktop,木马,Strike,Cobalt,PNG 来源: https://www.cnblogs.com/ikillyou/p/14203725.html