Cobalt Strike教程

Cobalt Strike是一款基于JAVA的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。
Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

Cobalt Strike的目录结构如下图：

• agscript 拓展应用的脚本
• c2lint 用于检查profile的错误异常
• teamserver 服务端程序
• cobaltstrike,cobalstrike.jar客户端程序(java跨平台)
• license.pdf 许可证文件
• logs 目录记录与目标主机的相关信息
• update,update.jar用于更新CS
• third-party 第三方工具

团队服务器最好运行在Linux平台上，服务端的关键文件是teamserver和cobaltstrike.jar，将这两个文件放在同一目录下运行：

团队服务器默认连接端口为50050，如果你想修改端口只需修改teamserver文件

客户端

Linux：./cobaltstrike或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
Windows：双击cobaltstrike.exe

输入服务端IP，端口默认50050，用户名任意，密码为之前设置的密码，点击connect。第一次连接会出现hash校验，这里的hash等于前面的启动teamserver时的hash，直接点击‘是’即可连接到团队服务器上。

创建监听器

点击Cobalt Strike -> Listeners->Add，其中内置了九个Listener

其中windows/beacon为内置监听器，包括dns、http、https、smb四种方式的监听器；windows/foreign为外部监听器，配合Metasploit或者Armitage的监听器。

Name任意，选择所需的payload，Host为本机IP，port为没有被占用的任意端口
点击save即创建成功

生成木马

这里选择其中一种攻击方式作示范，后面再做详细解释：
点击Attacks->Packages->HTML Application，选择对应的监听器，方法这里有三种(executable/VBA/powershell)，选择powershell，点击Generate生成，选择生成的路径及文件名保存即可。

开启web服务

点击Attacks->Web Drive-by->Host File，选择刚刚生成的木马evil.hta，点击Launch生成下载链接

运行木马

打开受害机cmd，运行mshta命令。mshta.exe是微软Windows操作系统相关程序，用于执行.HTA文件。

返回CS即可看到肉鸡上线

选中受害机右击，选择interact，即可进行交互，由于受害机默认60秒进行一次回传，为了实验效果我们这里把时间设置成5，但实际中频率不宜过快，容易被发现。

browserpivot

Browser Pivot是一个针对IE浏览器的技术，利用的是IE的cookie机制，Cobalt Strike通过IE注入进程以继承用户的已验证Web会话，达到无需验证登录用户访问的网站。
假设受害者在通过IE浏览器登录了网站后台

我们可以通过ps找到浏览器进程，然后通过命令进行注入

这里之所以选择PID 2600是因为我们需要插入Internet Explorer以继承用户的已验证Web会话。IE的新版本会为每个选项卡生成一个进程，我们必须将其插入子选项卡以继承会话状态。通常，子选项卡共享所有会话状态。通过查看PPID值来标识IE子选项卡进程，当PPID引用explorer.exe时，该进程不是子选项卡；当PPID引用iexplore.exe时，该进程就是子选项卡。
当然这里也可以通过图形界面注入，右击选中Explore->Browser Pivot