Cobaltstrike安装连接
CobaltStrike分为客户端和服务端,可分布式操作、协同作战。服务器只能运行在Linux系统上,可搭建在VPS服务器上。
服务端:
服务端的关键文件为teamview以及cobaltstrike.jar,将这个两个文件放到服务器上同一个目录,然后运行:
kali服务端启动./teamview kaliIP 连接密码
Windows(客户端)直接打开cobaltstrike.exe程序
双击进入exe程序后,出现下图页面
Host:填写kaliIP(cobaltstrike服务端IP)
Port:50050(默认连接端口,若修改端口则填写修改后的端口信息)
User:随便填一个用户
Password:kali启动cobaltstrike时输入的密码
填写完毕后,点击Connect进行连接,连接成功页面如下图所示:
默认端口&SSL修改
cobaltstrike的默认端口为50050,可修改默认端口
在kali中,进入cobaltstrike目录,查看teamserver,可看到默认端口为:50050,具体情况如下所示:
将上图默认端口修改为20010
Cobaltstrike服务端和客户端是通过SSL加密通信的,由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被防火墙识别。
除cobaltstrike的默认端口外,cobaltstrike默认的SSL证书信息也很重要,SSL指纹信息也很明显
可将SSL信息改为其他保持CN=XXX,OU=XXX,O=XX,L=XX,S=XX,C=XX即可
Cobaltstrike模块
cobaltstrike模块的功能选项,如下所示:
New Connection:打开一个新的“Connect”窗口,在当前窗口中新建一个连接,即可同时连接不同的团队服务器(便于团队之间的协作)。
Preferences:偏好设置,首选项,用于Cobaltstrike主界面、控制台、Teamserver连接记录、报告的样式。
Visualization:将主机以不同的权限展示出来(主要以输出结果的形式展现出来)。
VPN Interfaces:设置VPN接口。
Listeners:创建监听器。
Script Manager:查看和加载脚本。
Close:关闭当前与Teamserver的连接。
View模块
Applications:显示被控机器的应用信息。
Credentials:通过HashDump或mimikatz获取的密码或者散列值都储存在这里。
Downloads:从被控机器中下载的文件。
Event log:主机上线记录,以及与团队协作相关的聊天记录和操作记录。
Keystrokes:键盘记录。
Proxy Pivots:代理模块。
Screenshots:屏幕截图模块。
Script Console:控制台,在这里可以加载各种脚本。
Targets:显示目标。
Web log:web访问日志。
Attacks模块
Packages:
依次单击“Attacks”—>“Packages”选项,可看出一系列功能模块,如下图所示:
HTML Application:基于HTML应用的payload模块,通过HTML调用其他语言的应用组件进行攻击测试,提供了可执行文件、Powershell、VBA三种方法。
MS Office Macro:生成基于Office病毒的payload模块。
Payload Generator
Windows Executable
Windows Executable(S)
Web Drive-by:
Spear Phish: