0x01-Cobaltstrike简介
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。这款神器许多大佬们都已经玩的很6,我一个菜鸡玩的略有心得,因此写一下自己的Cobaltstrike系列文章,希望给各位一点帮助。
最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
项目官网:https://www.cobaltstrike.com
话说这个工具的社区版是大家熟知的Armitage(一个MSF的图形化界面工具),而Cobaltstrike大家可以理解其为Armitage的商业版。
早期版本CobaltSrtike依赖Metasploit框架,而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端(Client)与服务端(Teamserver),服务端是一个,客户端可以有多个,团队可进行分布式协团操作。
0x02-Cobaltstrike teamserver的启动
开启Cobaltstrike teamserver和运行GUI界面均需要Java环境,因此老哥们必须先把电脑上的Java装好,这个百度上都写的很详细,我在此就不赘述了。
服务器启动:
启动命令为(必须在 Linux 主机上启动团队服务器):
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
- host:服务器IP
- password:客户端连接需要的密码
[YYYY-MM-DD] 是 Beacon payloads 在此服务器上运行的杀死时间,在此时间后,Beacon payload 将停止启动。当它下一次醒来时就会离开并清空数据。这是帮助攻击人员在一次行动后清理 Beacon Payloads 的好工具。
客户端连解:
点击文件下的start.bat文件,host填服务器的ip,port默认,User是我们的登陆名,随便填一个,password是我们启动服务器时设置的password
成功登录