cs
image.png
New connection:新建连接窗口
Preferences:偏好,设置cobaltstrike外观
Visualization:可视化,输出结果展示(将主机以不同的权限展示出来)
VPN Interfaces:设置VPN接口
Listeners:创建监听器
Script Interfaces:查看加载cna脚本
Close:关闭
创建listenser
CobaltStrike的内置监听器为Beacon,外置监听器为Foreign。CobaltStrike的Beacon支持异步通信和交互式通信。
Cobalt Strike首先需要创建一个Listener,用于监听会话和接受shell连接。依次点击 Cobalt Strike->Listeners ,点击Add便可以创建自己想要的Listener。
image.png
name:监听器名字
payload:payload类型
HTTP Hosts:shell反弹主机,是服务端IP
HTTP Host(Stager):控制HTTP Beacon的HTTP Stager的主机,当此payload与需要显示的stager
HTTP Port(C2):C2监听的端口
image.png
需要了解beacon为内部监听器,在目标主机执行相关payload会向cd反弹一个shell;foreign主要是提供给外部使用的一些监听器,使用cs派生一个MSF的shell回来就需要使用外部监听器;在4.1版本中external c2是一个规范,允许第三方程序充当cs的beacon有效载荷的通讯层。
Attacks CobaltStrike主机上线
image.png
HTML Application 生成恶意的HTA木马文件;
MS Office Macro 生成office宏病毒文件;
Payload Generator 生成各种语言版本的payload;
USB/CD AutoPlay 生成利用自动播放运行的木马文件;
Windows Dropper 捆绑器,能够对文档类进行捆绑;
Windows Executable 生成可执行exe木马;
Windows Executable(S) 生成无状态的可执行exe木马
Web Drive-by(钓鱼攻击)
Manage 对开启的web服务进行管理;
Clone Site 克隆网站,可以记录受害者提交的数据;
Host File 提供一个文件下载,可以修改Mime信息;Host File 可以配合DNS欺骗实现挂马效果使用
PowerShell Web Delivery 类似于msf 的web_delivery ;
Signed Applet Attack 使用java自签名的程序进行钓鱼攻击;
Smart Applet Attack 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本;
System Profiler 用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等。
Spear Phish 用来邮件钓鱼的模块
(3)View
视图功能模块详细解释:
Applications:显示受害者机器的应用信息
Credentials:显示受害者及其的凭证信息,通过hashdump和mimikatz获取的密码会保存在这儿
Downloads:查看从受害主机上下载的文件
Event Log:可以看到事件日志,清楚的看到系统的事件,还可以提供团队成员聊天
Keystrokes:查看键盘记录
Proxy Pivots:查看代理信息
Screenshots:查看屏幕截图
Script Console:在这里可以加载各种脚本以增强功能
Targets:查看目标
Web Log:查看web日志
Applications 显示受害者机器的应用信息;
Credentials 显示受害者机器的凭证信息,能更方便的进行后续渗透;
Downloads 文件下载;
Event Log 可以看到事件日志,清楚的看到系统的事件,并且团队可以在这里聊天;
Keystrokes 查看键盘记录;
Proxy Pivots 查看代理信息;
Screenshots 查看屏幕截图;
Script Console 在这里可以加载各种脚本以增强功能,脚本地址:https://github.com/rsmudge/cortana-scripts
Targets 查看目标;
Web Log 查看web日志。
Reporting 主要就是出报告用的
