一、安装
1、需要java环境
2、cobaltstrike分为客户端和服务端两部分,服务端需要在linux环境中安装,客户端可以是Linux或Windows
3、安装包如下:
4、下载安装包解压即可直接使用
二、功能介绍
CobaltStrike一些主要文件功能如下:
- agscript:扩展应用的脚本
- c2lint:用于检查profile的错误和异常
- teamserver:服务器端启动程序
- cobaltstrike,cobaltstrike.jar 客户端程序(java跨平台)
- update,update.jar 用于更新CS
- third-party 第三方工具
- license.pdf 许可证文件
- cobaltstrike.store:秘钥证书存放文件
CobaltStrike一些参数介绍如下:
1、Cobalt Strike
- New Connection # 新建连接,支持连接多个服务器端
- Preferences # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
- Visualization # 主要展示输出结果的视图
- VPN Interfaces # 设置VPN接口
- Listenrs # 创建监听器
- Script Manager # 脚本管理,可以通过AggressorScripts脚本来加强自身,能够扩展菜单栏,Beacon命令行,提权脚本等
- Close # 退出连接
2、 View
- Applications # 显示受害主机的应用信息
- Credentials # 显示所有以获取的受害主机的凭证,如hashdump、Mimikatz
- Downloads # 查看已下载文件
- Event Log # 主机上线记录以及团队协作聊天记录
- Keystrokes # 查看键盘记录结果
- Proxy Pivots # 查看代理模块
- Screenshots # 查看所有屏幕截图
- Script Console # 加载第三方脚本以增强功能
- Targets # 显示所有受害主机
- Web Log # 所有Web服务的日志
3、Attacks—Packages
- HTML Application # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
- MS Office Macro # 生成office宏病毒文件
- Payload Generator # 生成各种语言版本的payload
- USB/CD AutoPlay # 生成利用自动播放运行的木马文件
- Windows Dropper # 捆绑器能够对任意的正常文件进行捆绑(免杀效果差)
- Windows Executable # 生成可执行exe木马
- Windows Executable(Stageless) # 生成无状态的可执行exe木马
4、Attacks—Web Drive-by
- Manage # 对开启的web服务进行管理
- Clone Site # 克隆网站,可以记录受害者提交的数据
- Host File # 提供web服务器文件下载,可以选择Mime类型
- Scripted Web Delivery # 为payload提供web服务以便下载和执行,类似于Metasploit的web_delivery
- Signed Applet Attack # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
- Smart Applet Attack # 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
- System Profiler # 用来获取系统信息,如系统版本,Flash版本,浏览器版本等
- Spear Phish # 鱼叉钓鱼邮件
5、Reporting
- Activity Report # 活动报告
- Hosts Report # 主机报告
- Indicators of Compromise # IOC报告:包括C2配置文件的流量分析、域名、IP和上传文件的MD5 hashes
- Sessions Report # 会话报告
- Social Engineering Report # 社会工程报告:包括鱼叉钓鱼邮件及点击记录
- Tactics, Techniques, and Procedures # 战术技术及相关程序报告:包括行动对应的每种战术的检测策略和缓解策略
- Reset Data # 重置数据
- Export Data # 导出数据,导出.tsv文件格式
6、 Help
- Homepage # 官方主页
- Support # 技术支持
- Arsenal # 开发者
- System information # 版本信息
- About # 关于
7、工具栏
- 1.新建连接
- 2.断开当前连接
- 3.新建和编辑监听器
- 4.切换视图为Pivot Graph(视图列表),服务器节点的可视化形式
- 5.切换视图为Session Table(会话列表),会话列表的可视化形式
- 6.切换视图为Target Table(目标列表),目标列表的可视化形式
- 7.显示所有已获取的受害主机的凭证
- 8.查看已下载文件
- 9.查看键盘记录结果
- 10.查看屏幕截图
- 11.生成无状态的可执行exe木马或DLL
- 12.使用java自签名的程序进行钓鱼攻击
- 13.生成office宏病毒文件
- 14.为payload提供web服务以便下载和执行
- 15.提供文件下载,可以选择Mime类型,在cs的web服务器上托管文件
- 16.管理托管在Cobalt Strike上运行的web服务和文件
- 17.帮助
- 18.关于
8、对被控主机的操作
被控主机上线后,选中主机,点击右键,出现以下选项
Interact 打开beacon
Access
dump hashes 获取hash(需管理员权限)
Elevate 提权(Windows Server 2008R2 、Win7 及以下系统可用。Win10不可用)
Golden Ticket 生成黄金票据注入当前会话
MAke token 凭证转换
Run Mimikatz 运行 Mimikatz (需管理员权限)
Spawn As 用其他用户生成Cobalt Strike的beacon,派生具有其他用户权限的会话
Explore
Browser Pivot 劫持目标浏览器进程,注入靶机IE浏览器进程并开启HTTP代理,攻击者可以通过此代理继承靶机IE已获取的凭证
Desktop(VNC) 桌面交互,通过VNC远程控制靶机桌面
File Browser 文件浏览器
Net View 命令Net View
Port scan 端口扫描
Process list 进程列表
Screenshot 截图
Pivoting
SOCKS Server 代理服务,在靶机开启SOCKS4反向代理,监听端口在C2主机
Listener 反向端口转发,设置pivot监听器,从而避免大量的靶机Beacon直接与C2通信
Deploy VPN 部署隐蔽VPN
Spawn 新的通讯模式并生成会话
Session
Note:为当前Beacon做备注
Color:为会话标记颜色
Remove:移除会话
Sleep:设置Beacon的延迟时间(心跳时间)
Exit:退出会话
三、使用
1、启动服务端
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
<host> 必需参数 团队服务器IP
<password> 必需参数 连接服务器的密码
[/path/to/c2.profile] 可选参数 指定C2通信配置文件,体现其强大的扩展性
[YYYY-MM-DD] 可选参数 所有payload的终止时间
# 启动Team Server
./teamserver 172.16.2.29 123456 # 设置强密码,否则容易被爆破,参考附录
# 默认端口50050,可在如下文件中修改
vi teamserver → -Dcobaltstrike.server_port=50050
2、启动客户端连接
Linux:./cobaltstrike或 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
Windows:双击cobaltstrike.exe
此处以windows为例
输入服务端IP,端口默认50050,用户名任意,密码为之前设置的密码,点击connect。第一次连接会出现hash校验,这里的hash等于前面的启动teamserver时的hash,直接点击‘是’即可连接到团队服务器上。
3、创建监听器
点击Cobalt Strike -> Listeners->Add,其中内置了九个Listener,其中windows/beacon为内置监听器,包括dns、http、https、smb四种方式的监听器;windows/foreign为外部监听器,配合Metasploit或者Armitage的监听器。
indows/beacon_dns/reverse_dns_txtwindows/beacon_dns/reverse_http
windows/beacon_http/reverse_http
windows/beacon_https/reverse_https
windows/beacon_smb/bind_pipe
windows/foreign/reverse_dns_txt
windows/foreign/reverse_http
windows/foreign/reverse_https
windows/foreign/reverse_tcpName任意,选择所需的payload,Host为服务端IP,port为没有被占用的任意端口
点击save即创建成功
4、生成木马
这里选择其中一种攻击方式作示范,点击Attacks->Packages->HTML Application,选择对应的监听器,方法这里有三种(executable/VBA/powershell),选择powershell,点击Generate生成,选择生成的路径及文件名保存即可。
生成的文件如下:
5、开启web服务
此步是为了将生成的木马放到服务器上,以供受害主机下载
点击Attacks->Web Drive-by->Host File,选择刚刚生成的木马evil.hta,点击Launch生成下载链接
生成链接:http://172.16.2.18:80/download/file.exthttp://172.16.2.29:80/download/file.exthttp://172.16.2.18:80/download/file.ext
6、运行木马
打开受害机cmd,运行mshta命令。mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件
返回CS,可以看到木马已成功执行,肉鸡上线。
选中受害机右击,选择interact,即可进行交互,由于受害机默认60秒进行一次回传,为了实验效果我们这里把时间设置成5,但实际中频率不宜过快,容易被发现。
执行命令
7、攻击利用
(1)抓取hash和dump明文密码
这两项功能都需要管理员权限,如果权限不足,先提权
· 抓取密码哈希:右键被控主机——>Access——>Dump Hashes
· 利用mimikatz抓取明文密码:右键被控主机——>Access——>Run Mimikatz
抓取密码哈希,也可以直接输入:hashdump
使用mimikatz抓取明文密码,也可以直接输入:logonpasswords
(win10报错,暂定,之后解决)
(2)提权(Elevate)
当获取的当前权限不够时,可以使用提权功能
右键被控主机——>Access——>Elevate
Windows Server 2008R2 、Win7 及以下系统可用。Win10不可用
默认有三个提权payload可以使用,分别是MS14-058、uac-dll、uac-token-duplication 。
我们也可以自己加入一些提权脚本进去。如下为几个提权工具包:
- Windows 下的提权大合集:https://github.com/lyshark/Windows-exploits
- Windows内核溢出漏洞提权大全:https://github.com/SecWiki/windows-kernel-exploits
- 各大平台提权工具:https://github.com/klsfct/getshell
- https://github.com/rsmudge/ElevateKit
如下即可导入新的提供工具
(3)浏览器代理Browser Pivot
使用浏览器代理功能,我们可以注入到目标机器的浏览器进程中。然后在本地浏览器中设置该代理,这样,我们可以在本地浏览器上访问目标机器浏览器已经登录的网站,而不需要登录。但是目前浏览器代理只支持IE浏览器。如下,目标主机的IE浏览器目前在访问fofa,并且已登录。现在我们想利用浏览器代理在本地利用目标主机身份进行访问。
8、导出报告
点击Reporting->Activity Report,导出默认PDF文档
