渗透测试神器CS(4.0)的使用

CS

CS简介CS功能安装CSCS的基本使用深入标题介绍

Beacon Commands基础操作演示

CS简介

CS 是Cobalt Strike的简称，是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。 CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。

CS功能

Cobalt Strike可以使用 AggressorScripts脚本来加强自身，能够扩展菜单栏，Beacon命令行，提权脚本等。 Cobalt Strike通信配置文件是 Malleable C2，你可以修改CS的通讯特征，Beacon payload的一些行为。 Cobalt Strike可以引用其他的通讯框架ExternalC2，ExternalC2是由Cobalt Strike提出的一套规范/框架，它允许黑客根据需要对框架提供的默认HTTP(S)/DNS/SMB C2 通信通道进行扩展。

安装CS

下载并解压文件 目录如下 agscript 拓展应用的脚本

c2lint 用于检查profile的错误异常

teamserver 服务端程序

cobaltstrike，cobaltstrike.jar客户端程序(java跨平台)

logs 目录记录与目标主机的相关信息

update，update.jar用于更新CS

third-party 第三方工具

最核心的就是teamserver和cobaltstrike.jar，分别是服务端和客户端

启动服务端，我们首先给teamserver权限

chmod 777 teamserver

启动，第一个参数是地址，第二个参数是密码，地址是我们本机的地址，密码任意设置，这里为password 在服务端输入命令 ./teamserver 服务端ip地址 密码 接下来在客户端打开CS图形化界面 打开终端，输入 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar命令启动。 界面如图 这里由于我们的服务端和客户端在一台机器上，我们就使用默认的host 127.0.0.1即可，port默认为50050，在启动服务端的时候通过回显也可以得知。如果更改了teamserver文件里的server_port值那么在此处就需要改成对应的。user可以随意设置，password为我们前面启动teamserver时的密码password 都设置好后，点击connect 启动后的界面如图

CS的基本使用

作为cobalt strike的第一课，直接简单地进行实战，先感受下cobalt strike最基础的使用流程及其魅力。 首先创建一个listener 左上角的cobaltstrike->listeners 复现 环境： kali:192.168.175.147 win7:192.168.175.145 开启个监听 点击add创建即可… 选择生成后门-创建win.exe-payload…

创建好后 选择一个钓鱼链接 复制该链接到需要控制的靶机上下载即可 下载好后，直接双击… 可看到已经成功获得对方的shell，成功控制对方电脑…

深入标题介绍

Access Dump Hashes #获取hash Elevate #提权 Golden Ticket #生成黄金票据注入当前会话 Make token #凭证转换 Run Mimikatz #运行 Mimikatz Spawn As #用其他用户生成Cobalt Strike侦听器

Explore Browser Pivot #劫持目标浏览器进程 Desktop(VNC) #桌面交互 File Browser #文件浏览器 Net View #命令Net View Port Scan #端口扫描 Process List #进程列表 Screenshot #截图

Pivoting SOCKS Server #代理服务 Listener #反向端口转发 Deploy VPN #部署VPN

Spawn

外部监听器(如指派给MSF，获取meterpreter权限)

Session Note #备注 Remove #删除 Sleep #指定被控端休眠时间，默认60秒一次回传，让被控端每10秒来下载一次任务。实际中频率不宜过快,容易被发现。 Exit #退出

Interact(打开beacon) beacon> help

Beacon Commands

Command Description

argue 进程参数欺骗 blockdlls 阻止子进程加载非Microsoft DLL browserpivot 注入受害者浏览器进程 bypassuac 绕过UAC提升权限 cancel 取消正在进行的下载 cd 切换目录 checkin 强制让被控端回连一次 clear 清除beacon内部的任务队列 connect Connect to a Beacon peer over TCP covertvpn 部署Covert VPN客户端 cp 复制文件 dcsync 从DC中提取密码哈希 desktop 远程桌面(VNC) dllinject 反射DLL注入进程 dllload 使用LoadLibrary将DLL加载到进程中 download 下载文件 downloads 列出正在进行的文件下载 drives 列出目标盘符 elevate 使用exp execute 在目标上执行程序(无输出) execute-assembly 在目标上内存中执行本地.NET程序 exit 终止beacon会话 getprivs Enable system privileges on current token getsystem 尝试获取SYSTEM权限 getuid 获取用户ID hashdump 转储密码哈希值 help 帮助 inject 在注入进程生成会话 jobkill 结束一个后台任务 jobs 列出后台任务 kerberos_ccache_use 从ccache文件中导入票据应用于此会话 kerberos_ticket_purge 清除当前会话的票据 kerberos_ticket_use Apply 从ticket文件中导入票据应用于此会话 keylogger 键盘记录 kill 结束进程 link Connect to a Beacon peer over a named pipe logonpasswords 使用mimikatz转储凭据和哈希值 ls 列出文件 make_token 创建令牌以传递凭据 mimikatz 运行mimikatz mkdir 创建一个目录 mode dns 使用DNS A作为通信通道(仅限DNS beacon) mode dns-txt 使用DNS TXT作为通信通道(仅限D beacon) mode dns6 使用DNS AAAA作为通信通道(仅限DNS beacon) mode http 使用HTTP作为通信通道 mv 移动文件 net net命令 note 备注 portscan 进行端口扫描 powerpick 通过Unmanaged PowerShell执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本 ppid Set parent PID for spawned post-ex jobs ps 显示进程列表 psexec Use a service to spawn a session on a host psexec_psh Use PowerShell to spawn a session on a host psinject 在特定进程中执行PowerShell命令 pth 使用Mimikatz进行传递哈希 pwd 当前目录位置 reg Query the registry rev2self 恢复原始令牌 rm 删除文件或文件夹 rportfwd 端口转发 run 在目标上执行程序(返回输出) runas 以其他用户权限执行程序 runasadmin 在高权限下执行程序 runu Execute a program under another PID screenshot 屏幕截图 setenv 设置环境变量 shell 执行cmd命令 shinject 将shellcode注入进程 shspawn 启动一个进程并将shellcode注入其中 sleep 设置睡眠延迟时间 socks 启动SOCKS4代理 socks stop 停止SOCKS4 spawn Spawn a session spawnas Spawn a session as another user spawnto Set executable to spawn processes into spawnu Spawn a session under another PID ssh 使用ssh连接远程主机 ssh-key 使用密钥连接远程主机 steal_token 从进程中窃取令牌 timestomp 将一个文件的时间戳应用到另一个文件 unlink Disconnect from parent Beacon upload 上传文件 wdigest 使用mimikatz转储明文凭据 winrm 使用WinRM横向渗透 wmi 使用WMI横向渗透

基础操作演示

右键目标interact来使用Beacon，用它来执行各种命令。在Cobalt Strike中，默认心跳为60s，执行命令的响应很慢，在下载文件时更加明显，所以根据实战环境把时间降低，建议不要太快，否则流量会相对明显。 在beacon中，如果想对目标进行命令管理，需要在前面加上shell，如shell whoami、shell ipconfig等…

今天简单的简介入门级，简单的操作可自行搭建靶机操作 后面会越来越深入的学习Cobalt Strike 4.0…加油！！