渗透测试框架——Cobalt Strike

Cobalt Strike是一款非常成熟的渗透测试框架。Cobalt Strike在3.0版本之前是基于Metasploit框架工作的，可以使用Metasploit的漏洞库。从3.0版本开始，Cobalt Strike不再使用Metasploit的漏洞库，成为一个独立的渗透测试平台。Cobalt Strike是用Java语言编写的。可以进行团队协作，以搭建了Cobalt Strike的TeamServer服务的服务器为中转站，使目标系统权限反弹到该TeamServer服务器上。同时，Cobalt Strike提供了良好的UI界面。

1. 安装Cobalt Strike

1.1 安装Java运行环境

1）下载

因为启动Cobalt Strike需要JDK的支持，所以需要安装Java环境。打开Oracle官方网站(https://www.oracle.com/java/technologies/downloads/#jdk21-windows)，如下图所示：下载安装包。

2）查看Java环境

打开命令模式，输入如下命令查看所安装的Java环境版本信息，如下图所示：

java -version

1.2 部署TeamServer

在安装Cobalt Strike时，必须搭建团队服务器(也就是TeamServer服务器)。打开cobaltstrike文件夹，如下图所示：

输入“ls -l"命令，查看TeamServer和Cobalt Strike是否有执行权限。当前TeamServer权限为rw， 没有x(执行)权限，如下图所示：

接着， 输入如下命令， 为TeamServer和Cobalt Strike赋予执行权限，如下图所示：

chmod +x teamserver cobaltstrike

再次输入"ls -l"命令，查看当前TeamServer和Cobalt Strike的权限。TeamServer和CobaltStrike已经获得了执行权限，如下图所示：

cobaltstrike文件夹中有多个文件和文件夹，其功能如下:

• agscript:拓展应用的脚本
• c2lint:用于检查profile的错误和异常
• teamserver:团队服务程序
• cobaltstrike和cobaltstrike.jar:客户端程序。因为teamserver文件事通过Java来调用Cobalt Strike的，所以直接在命令行环境中输入第一个文件的内容也能启动Cobalt Strike客户端Strike的， （主要是为了方便操作）。
• logs:日志，包括Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等。
• update和update.jar：用于更新Cobalt Strike。
• data： 用于保存当前TeamServer的一些数据。

最后，运行团队服务器。在这里，需要设置当前主机的IP地址和团队服务器的密码。输入如下命令，如下图所示：

./teamserver 192.168.1.29 test123456

如果要将Cobalt Strike的TeamServer部署在公网上，需要使用强口令，以防止TeamServer被破解。接下来，我们就可以启动Cobalt Strike客户端来连接团队服务器了。

2. 启动 Cobalt Strike

2.1 启动Cobalt Strike.jar

启动cobaltstrike.jar

填写团队服务器的IP地址、端口号、用户名、密码，如下图所示。这里，登录用户名可以任意输入，但要保证当前该用户名没有被用来登录CobaltStrike服务器。

单击”Connect“按钮，会出现指纹校验对话框，如下图所示。指纹校验的主要作用是防篡改，且每次创建Cobalt Strike团队服务器时生成的指纹都不一样。

在客户端想服务端成功获取相关信息后，即可打开Cobalt Strike主界面，如下图所示。CobaltStrike主界面主要分为菜单栏、快捷功能区、目标列表区、控制台命令输出区、控制台命令输入区。

• 菜单栏： 集成了Cobalt Strike的所有功能
• 快捷功能区：列出常用的功能
• 目标列表：根据不同的显示模式，显示已获取权限的主机及目标主机
• 控制台命令输入区：输出命令的执行结果
• 控制台命令输入区：输入命令

2.2 利用Cobalt Strike获取第一个Beacon

1. 建立 Listener

可以通过菜单栏的第一个选项”Cobalt Strike"进入"Listener"面板，也可以通过快捷功能区进入“Listeners”面板，如下图所示：

单击“Add"按钮，新建一个监听器，如图所示。输入名称、监听器类型、团队服务器IP地址、监听端口，然后单击”Save“按钮保存设置，如图所示。第一个监听器（Listener）创建成功，如图所示。

2. 使用Web Delivery执行Payload

单击”Attacks"菜单，选择"Web Driver-by" → "Scripted Web Delivery"选项，或者通过快捷功能区，打开”Scripted Web Delivery"窗口，如图所示。

最后，将Cobalt Strike生成的Payload完整第复制下来，如下图所示。

保持默认配置，选择已经创建的监听器，设置类型为PowerShell，然后单击“Launch”按钮，如图所示。最后，将Cobalt Strike生成的Payload完整复制下来，如图所示。

3. 执行Payload

执行Payload，Cobalt Strike会收到一个Beacon,如图所示：

如果一切顺利，就可以在Cobalt Strike的日志界面看到一条日志，如下图所示。

在Cobalt Strike的主界面中可以看到一台机器上线（包含内网IP地址、外网IP地址、用户名、机器名、是否拥有特权、Beacon进程的PID、心跳时间等信息），如图所示：

4. 与目标主机进行交互操作

单击右键，在弹出的快捷菜单中选中需要操作的Beacon，然后单击“Interact"选项，进入主机交互模式，如图所示。

现在就可以输入一些命令来执行相关操作了。如图所示，输入"shell whoami"命令，查看当前用户，在心跳时间后就会执行该命令。在执行命令时，需要在命令前添加”shell“。Beacon的每次回连时间默认为60秒。

回连后，执行命令的任务将被下发，并成功回显命令的执行结果，如图所示。

3. Cobalt Strike模块详解

1. Cobalt Strike模块

Cobalt Strike模块的功能选项，如图所示。

• New Connection：打开一个新的”Connect“窗口。在当前窗口中新建一个连接，即可同时连接不同的团队服务器（便于团队之间的协作）。
• Preferences：偏好设置，首选项，用于设置Cobalt Strike主界面、控制台、TeamServer连接记录、报告的样式。
• Visualization：将主机以不同的权限展示出来（主要以输出结果的形式展示）。
• VPN Interface:设置VPN接口。
• Listeners：创建监听器。
• Script Manager：查看和加载CNA脚本。
• Close：关闭当前与TeamServer的连接。

2. View模块

View模块的功能选项，如下图所示。

• Application：显示被控机器的应用信息。
• Credential：通过HashDump或mimikatz获取的密码或者散列值都存储在这里。
• Downloads：从被控机器中下载的文件。
• Event Log：主机上线记录，以及与团队协作相关的聊天记录和操作记录。
• Keystrokes：键盘记录。
• Proxy Pivots：代理模块
• Screenshots：屏幕截图模块
• Script Console：控制台，在这里可以加载各种脚本。
• Targets：显示目标。
• WebLog：Web访问日志。

3. Attacks模块

下面介绍Attacks模块下的Packages和Web Drive-by模块。

1. Package模块

依次点击”Attacks“ → ”Packages“选项，可以看到一系列功能模块，如下图所示。

• HTML Application：基于HTML应用的Payload模块，通过HTML调用其他语言的应用组件进行攻击测试，提供了可执行文件、PowerShell、VBA三种方法。
• MS Office Macro：生成基于Office病毒的Payload模块。
• Payload Generator：Payload生成器，可以生成基于 C、C#、COM Scriptlet、Java、Perl、Powershell、Python、Ruby、VBA等的Payload。
• Windows Executable：可以生成32位或64位的EXE和基于服务的EXE、DLL等后门程序。在32位的Windows操作系统中无法执行64位的Payload，而且对于后渗透测试的相关模块， 使用32位和64位的Payload会产生不同的影响，因此在使用时硬谨慎选择。
• Windows Executable(S)：用于生成一个Windows可执行文件，其中包含Beacon的完整Payload，不需要阶段性的请求。与Windows Executable模块相比，该模块额外提供了代理设置，以便在较为苛刻的环境中进行渗透测试。该模块还支持PowerShell脚本，可用于将Stageless Payload注入内存。

2. Web Drive-by模块

依次单击”Attacks“ → ”Web Drive-by“选项，可以看到一系列基于网络驱动的功能模块，如图所示。

• Manage：管理器，用于对TeamServer上已经启动的Web服务进行管理，包括Listener及Web Delivery模块。
• Clone Site：用于克隆指定网站的样式。
• Host File：用于将指定文件加载到Web目录中，支持修改Mime Type。
• Script Web Delivery：基于Web的攻击测试脚本，自动生成可执行的Payload。
• Signed Applet Attack：使用Java自签名的程序进行钓鱼攻击测试。如果用户有Applet运行权限，就会执行其中的恶意代码。
• Smart Applet Attack：自动检测Java的版本并进行跨平台和跨浏览器的攻击测试。该模块使用嵌入式漏洞来禁用Java的安全沙盒。可利用此漏洞的Java版本位1.6.0_45以下及1.7.0_21以下。
• System Profiler：客户端检测工具，可以用来获取一些系统信息，例如系统版本、浏览器版本、Flash版本等。

4. Reporting模块

Reporting模块可以配合Cobalt Strike的操作记录、结果等，直接生成相关报告，如图所示。

4. Cobalt Strike功能详解

在后渗透测试中，Cobalt Strike作为图形化工具，具有得天独厚的优势。

1. 监听模块

1. Listeners模块Payload功能详解

Listeners模块的所有Payload，如下表所示。

​ Listeners模块的所有Payload

Payload	说 明
windows/beacon_dns/revser_dns_txt
windows/beacon_dns/reverse_http
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_smb/bind_pipe	只用于x64本地主机
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcp

• windows/beacon_dns/reverse_dns_txt：使用DNS中的TXT类型进行数据传输，对目标主机进行管理。
• windows/beacon_dns/reverse_http：采用DNS的方式对目标主机进行管理。
• windows/beacon_https/revese_https：采用SSL进行加密，有较高的隐蔽性。
• windows/beacon_smb/bind_pipe：Cobalt Strike的SMB Beacon。SMB Beacon使用命名管道通过父Beacon进行通信。该对等通信与Beacon在同一主机上工作，点对点地对目标主机进行控制。SMB Beacon也适用于整个网络，Windows将命名管道通信封装在SMB协议中（SMB Beacon因此得名）。Beacon的横向移动功能通过命名管道来调度SMB Beacon。对内网中无法连接公网的机器，SMB Beacon可以通过已控制的边界服务器对其进行控制。
• windows/foreign/reverse_http：将目标权限通过此监听派发给Metasploit或者Empire。

2. 设置windows/beacon_http/reverse_http监听器

依次单击”Cobalt Strike“ → ”Listeners“选项，创建一个监听器。如图所示，像Metasploit一样，Cobalt Strike有多种监听程序。在Cobalt Strike中，每种类型的监听器只能创建一个。

Cobalt Strike的内置监听器Beacon（针对DNS、HTTP、SMB），外置监听器为Foreign。有外置监听器，就意味着可以和Metasploit或Empire联动。可以将一个在Metasploit或Empire中的目标主机的权限通过外置监听反弹给Cobalt Strike。

Cobalt Strike的Beacon支持异步通信或交互式通信。异步通信过程是：Beacon从TeamServer服务器获取指令，然后断开连接，进入休眠状态，Beacon继续执行获取的指令，直到下一次心跳才与服务器进行连接。

在监听器窗口中单击”Add“按钮，就会出现新建监听器页面。如图所示，在"Payload"下拉列表中选择”Beacon HTTP"选项，表示这个监听器是Beacon通过HTTP协议的GET请求来获取并下载任务、通过HTTP协议的POST请求将任务的执行结果返回的。然后，设置监听端口，单击“Save”按钮保存设置。

2. 监听器的创建于使用

1. 创建外置监听器

创建一个名为"msf"的外置监听器，如图所示。

2. 通过Metasploit启动监听

启动Metasploit，依次输入如下命令，使用exploit/multi/handler模块进行监听，如图所示。使用exploit/multi/handler模块设置的Payload的参数、监听器类型、IP地址和端口，要和在Cobalt Strike中设置的外置监听器的响应内容一致。

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.29
set lport 2333
run

3. 使用Cobalt Strike反弹Shell

在Cobalt Strike 主界面上选中已经创建的外置监听器，然后单击右键，在弹出的快捷菜单中单击”Spawn"选项。在打开的窗口中选中“msf"外置监听器，单击”Choose"按钮。在Beacon发生下 一次心跳时，就会与Metasploit服务器进行连接，如图所示。

切换到Metasploit控制台，发现已经启动了Meterpreter session 1。

接下来， 执行“getuid”命令，查看权限，如图所示。因为当前Cobalt Strike的权限时System，所以分配给Metasploit的权限也是System。由此可知，当前Cobalt Strike有什么权限，分配给Metasploit的就是什么权限。

除了使用图形化界面进行spawn操作，还可以直接在控股台的命令输入区输入“spawn msf"命令，将权限分配给名为”msf"的监听器，如图所示。

如下两种监听器的使用方法与上述类似。

• windows/foreign/reverse_https
• windows/foreign/reverse_tcp

3. Delivery模块

在Delivery模块中，我们主要了解一下Scripted Web Delivery模块。

依次单击“Attacks" → ”Web Drive-by" → "Scripted Web Delivery"选项，打开“Scripted Web Delivery”窗口，如图所示。

• URI Path：在访问URL时，此项为Payload的位置。
• Local Host：TeamServer服务器的地址。
• Local Port：TeamServer服务器开启的端口。
• Listener：监听器。
• Type：Script Web Delivery的类型，如图所示。

Script Web Delivery 主要通过四种类型来加载TeamServer中的脚本，每种类型的工作方式大致相同。Script Web Delivery先在TeamServer上部署Web服务，再生成Payload和唯一的URI。

选择PowerShell类型并单击“Launch"按钮，如图所示，Cobalt Strike会将生成的Payload自动转换为命令。复制这个命令并在目标主机上执行它，在没有安装杀毒软件的情况下，Windows主机会直接下载刚才部署在TeamServer中的Payload，然后将其加载到内存中，以获取目标主机的一个Beacon。

其他类型的Script web Delivery是通过目标主机的不同模块实现的。在渗透测试中，可以根据目标主机的情况选择相应类型的Script Web Delivery。

4. Manager模块

依次单击”Attacks" → “Web Driver-by" → ”Manage“选项，可以看到Manage模块中开启的Web服务，如图所示。

Manage模块主要用于管理团队服务器的Web服务。可以看到，其中不仅有Beacon监听器，还有Script Web Delivery模块的Web服务。如果忘记了由Script Web Delivery自动生成的命令，可以在这里找回。选中一个服务，单击，”Copy URL”按钮，那段被我们忘记的命令就会出现在剪贴板中了。如果想让某个服务停止运行，可以选中该服务并单击“Kill”按钮。

5. Payload模块

1. Payload的生成

依次单击“Attacks” → “Packages" → "Payload Generator"选项，打开”Payload Generator“窗口，如图所示。

可以生成多种Cobalt Strike的Shellcode。选择一个监听器，设置输出语言的格式，就可以生成相应语言的Shellcode（可以生成C、C#、COM Scriptlet、Java、Perl、Power Shell、Power Shell Command、Python、RAW、Ruby、Veil、VBA等语言的Shellcode）。编写相应语言的用于执行Shellcode的代码，将Shellcode嵌入，然后在目标主机上执行这段Shellcode，就可以回弹一个Beacon。各种语言用于执行Shellcode的代码，可以在GitHub中找到。

2. Windows可执行文件（EXE）的生成

依次单击”Attacks" → ”Package“ → "Windows Executable"选项，打开”Windows Executable“窗口，如图所示。

在这里，可以生成标准的Windows可执行文件（EXE）、基于服务的Windows可执行文件、Windows DLL文件。

• Windows EXE：Windows 可执行文件。
• Windows Service EXE：基于服务的Windows可执行文件。 可以将对应的文件添加到服务中，例如设置开机自动启动。
• Windows DLL：Windows DLL文件。DLL文件可用于DLL劫持、提权或者回弹Beacon。

3. Windows可执行文件（Stageless）的生成

依次单击”Attacks" → “Packages" → ”Windows Executable(S)"选项，打开“Windows Executable”窗口，生成一个Windows可执行文件，如图所示。

• Windows Service EXE：基于服务的Windows可执行文件。 可以将对应的文件添加到服务中，例如设置开机自动启动。
• Windows DLL：Windows DLL文件。DLL文件可用于DLL劫持、提权或者回弹Beacon。

3. Windows可执行文件（Stageless）的生成

依次单击”Attacks" → “Packages" → ”Windows Executable(S)"选项，打开“Windows Executable”窗口，生成一个Windows可执行文件，如图所示。