Cobalt Strike (一)

参考资料:


这个软件是内网渗透、APT的软件,基于服务端/客户端构架,适用于多人合作。

安装java环境

Use Oracle’s Java implementation for the best Cobalt Strike experience. 最好使用Oracle’s Java implementation这个环境,但是我对java不是很熟悉,就没有安装,直接使用kali自带的open jdk。

how-to-install-java-with-apt-get-on-ubuntu-16-04

1
2
3
4
5
su root
apt-get update
apt-get -f install software-properties-common
apt-get install default-jre
apt install default-jdk

yum install jdk-12.0.2_linux-x64_bin.rpm


第一步,现在网上下载一个cobalt strike

运行环境:linux平台+java环境

服务器有两个主要的参数和两个次要的参数,

主要参数: 团队服务器的外部可达IP 团队成员连接客户端来使用的密码

次要参数: 第三个选项是可选的,没看懂。 第四个,设置payload过期的时间,格式为YYYY-MM-DD

./teamserver 设置服务器的IP 任意设置一个密码

1

上图是一串SHA256 hash,在团队成员连接服务器时候,验证身份用的。

客户端

3 点击connect,然后对比fingerprint,是否和服务端一致,防止中间人攻击。 4

方式一:

1
2
chmod a+x cobaltstrike
./cobaltstrike

方式二:

1
java -jar cobaltstrike.jar

1
2
3
4
host: 192.168.1.1 (服务器设置的地址,客户端将会连接这个地址)
port: 50050 (默认地址)
user: whale (你在团队中的昵称)
password: pass  (服务器设置的密码)

一旦和服务器建立连接,你的团队会

  • 使用同样的session
  • 分析主机,捕获的数据,和下载的文件
  • 和共享的事件日志建立交流。

客户端也可以连接多个team server。

遇到的问题

虚拟机NAT模式,运行cobalt不行,提示地址已经被占用。

如果使用虚拟机,请使用桥接,没有单独IP的,则使用host-only模式。

2

5

payload上线

cs可以生成一段恶意代码,在目标系统运行以后这段恶意代码,即可在cs上上线,达到控制目标的目的。

在本地运行ps1脚本,发现被comodo自动拦截了。

  1. 添加监听器 cobalt strike -- listeners -- add/edit 设置监听的外网IP/端口

  2. 生成攻击payload attacks -- packages -- payload generator/ windows_executable

  3. 将payload上传到目标机器执行。

这里我在自己的电脑上运行了payload,顺便检测了一波comodo杀毒的能力,表示效果不错哈哈~ 6

8

9 其他功能下次再研究下吧。。