终端一
chmod +x teamserver
./teamserver 192.168.247.129 123456
IP是服务器IP,这里由于是本机测试,所以就是本机IP,123456是连接CobaltStrike服务器的密码
终端二
chmod +x cobaltstrike
./cobaltstrike
弹出窗口中填写正确信息后点击Connect即可连接
使用Cobalt Strike首先需要创建一个Listener,依次点击 Cobalt Strike->Listeners ,然后点击Add便可以创建自己想要的Listeners了,Cobalt Strike3.8包括
- windows/beacon_dns/reverse_dns_txt
- windows/beacon_dns/reverse_http
- windows/beacon_http/reverse_http
- windows/beacon_https/reverse_https
- windows/beacon_smb/bind_pipe
- windows/foreign/reverse_dns_txt
- windows/foreign/reverse_http
- windows/foreign/reverse_https
- windows/foreign/reverse_tcp
其中windows/beacon是Cobalt Strike自带的模块,包括dns、http、https、smb四种方式的监听器。windows/foreign 为外部监听器,即Metasploit或者Armitage的监听器。选择监听器以后,host会自动填写我们开启服务时的IP,配置监听端口,然后Save,监听器就创建好了。
创建监听器
Cobalt Strike包括多种攻击方式,主要分为Packages、Web Drive-by、Spear Phish
Packages
- HTML Application 生成恶意的HTA木马文件
- MS Office Macro 生成office宏病毒文件
- Payload Generator 生成各种语言版本的payload
- USB/CD AutoPlay 生成利用自动播放运行的木马文件
- Windows Dropper 捆绑器,能够对文档类进行捆绑
- Windows Executable 生成可执行exe木马
- Windows Executable(S)生成无状态的可执行exe木马
Web Drive-by(钓鱼攻击)
- Manage对开启的web服务进行管理
- Clone Site 克隆网站,可以记录受害者提交的数据
- Host File 提供一个文件下载,可以修改Mime信息
- PowerShell Web Delivery类似于msf 的web_delivery
- Signed Applet Attack 使用java自签名的程序进行钓鱼攻击
- Smart Applet Attack 自动检测java版本并进行攻击,针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本
- System Profiler用来获取一些系统信息,比如系统版本,Flash版本,浏览器版本等
Spear Phish(邮件钓鱼)
创建客户端
这里我们选择Packages里的Windows Executable生成木马
点击Generate生成,选择保存路径和文件名
将生成的木马放到靶机运行,可以看到迅速上线了
此时我们浏览一下主机上的文件
可以看到中文是乱码的,下面开始解决乱码问题。GitHub地址:https://github.com/Ridter/CS_Chinese_support
使用压缩工具打开 cobaltstrike.jar,替换beacon目录下的 BeaconC2.class 以及 TaskBeacon.class,替换server目录下的 Beacons.class即可。替换完后重新启动Cobalt Strike浏览文件
可以看到中文已经能正常回显
