重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
CobaltStrike简介以及安装步骤 CobaltStrike介绍篇作者简介:
网站设计制作、成都网站制作的关注点不是能为您做些什么网站,而是怎么做网站,有没有做好网站,给创新互联公司一个展示的机会来证明自己,这并不会花费您太多时间,或许会给您带来新的灵感和惊喜。面向用户友好,注重用户体验,一切以用户为中心。
一位来自东北地区的计算机技术 网络安全技术爱好者
TA是什么:
是一款后渗透阶段的渗透测试工具,俗称CS工具,使用的架构是C/S架构分为:客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
TA的功能有什么?
可以进行端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成等,并且具有模块扩展功能。
TA的获取方式?从什么地方来下载
官网地址:https://www.cobaltstrike.com/
或者是通过一些交流社区来获取。
CobaltStrike安装配置篇在刚刚提到了它分为:客户端以及服务端,首先来看下服务端的安装过程:
服务端安装配置
注意:服务端只能在Linux系统的环境下来进行安装配置,并且需要具备Java语言环境。
此外不管是服务端的配置还是客户端的配置,需要提前关闭下杀毒软件,以免被杀毒软件拦截其黑客软件行为。
首先将工具本体传入Linux主机当中去,然后输入命令开启服务端。
./teamserver 服务端的外网IP地址 服务端的连接密码 相关额外可选配置
在建立成功之后会出现如图的界面,下面通过注释来解析下分别代表什么意思。
[*] Will use existing X509 certificate and keystore (for SSL)
[*] Loading properties file (/root/sec/Cobalt_Strike_4.5/TeamServer.prop).
[*] Properties file was loaded.
[+] Team server is up on 0.0.0.0:54321
#监听端口 54321 也就是在连接的时候要输入的端口号#
[*] SHA256 hash of SSL cert is: e9b37dc550a9d71962c431096fd14cb27da7d03185f55540f0960d6d9b91e684
#SHA256 唯一认证代码#
[+] Listener: test started!
至此服务端的安装配置已经基本完成。
客户端的连接配置
客户端连入服务端需要以下配置信息:
1:团队服务器的外网IP地址。
2:团队服务器的连接密码。
3:可选的额外配置信息,如果没有配置过则不需要。
如果你所处的是Linux主机那么一般是双击start.sh文件来启动连接程序。
如果处于的是Windows主机那么一般可能是exe文件或者是bat文件,找到对应的双击打开即可,本次使用的是Windows系统。
打开的界面如下:
因为本次使用的是汉化版cs所以说界面是中文的。
在这里分别输入上我们服务端的ip地址 端口 然后点击:Connect (连接)选项即可。
至此成功的完成的客户端连接服务端的操作,在接下来会进行实际演示此工具的基本用途。
cobaltStrike生成木马上线前置知识科普:
什么是监听器(Listeners)
任何行动的第一步都是建立基础设施。就 Cobalt Strike 而言,基础设施由一个或多个团队服务器、重
定向器以及指向你的团队服务器和重定向器的 DNS 记录组成。一旦团队服务器启动并运行,你将需要
连接到它并将其配置为接收来自受害系统的连接。监听器就是 Cobalt Strike 中用来执行这种任务的机
制。-选自Cobaltstrike 4.0用户手册 汉译版
第一步:设置下Listeners(监听器)
首先在界面上找到一个耳机的图标,这个就是设置Listeners的入口
在弹出的窗口底部中选择add(添加)
监听器的名字可以随便写,http地址是回连ip地址,默认服务器外网地址即可,然后再payload中选择你需要的类型 默认是Beacon http 一般设置默认即可
默认的HTTP 和 HTTPS Beacon 通过 HTTP GET 请求来下载任务。这些 Beacon 通过 HTTP POST 请求传回数据。你也可以通过 C2 拓展文件来极尽可能的控制这个 payload。
-选自 中文翻译手册。
在设置好监听器的情况下,要做的事情就是生成木马文件。
在CS工具的界面上可以选择Attack(攻击)–生成后门-windows可执行程序
选择好刚才设置的监听器,直接默认生成即可。
找到生成后的木马文件,让受害者运行即可
在运行之后CS工具上会出现上线主机。
可以右键主机选项调出会话(beacon)可以跟受害主机进行交互行为。
例如我想执行自定义SHELL命令
在beacon会话窗口中输入
shell 要执行的命令
例如我要执行whoami命令
shell whoami
然后等待受害主机跟CS回连响应即可,回连时间可以通过 sheep 秒数来进行设置,默认回连时间60秒。
图为执行whoami后的回显信息。
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧