Cobaltstrike安装连接

CobaltStrike分为客户端和服务端,可分布式操作、协同作战。服务器只能运行在Linux系统上,可搭建在VPS服务器上。

服务端:

服务端的关键文件为teamview以及cobaltstrike.jar,将这个两个文件放到服务器上同一个目录,然后运行:

kali服务端启动./teamview kaliIP 连接密码


Windows(客户端)直接打开cobaltstrike.exe程序


双击进入exe程序后,出现下图页面

Host:填写kaliIP(cobaltstrike服务端IP)

Port:50050(默认连接端口,若修改端口则填写修改后的端口信息)

User:随便填一个用户

Password:kali启动cobaltstrike时输入的密码


填写完毕后,点击Connect进行连接,连接成功页面如下图所示:



默认端口&SSL修改

cobaltstrike的默认端口为50050,可修改默认端口

在kali中,进入cobaltstrike目录,查看teamserver,可看到默认端口为:50050,具体情况如下所示:


将上图默认端口修改为20010

Cobaltstrike服务端和客户端是通过SSL加密通信的,由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被防火墙识别。

除cobaltstrike的默认端口外,cobaltstrike默认的SSL证书信息也很重要,SSL指纹信息也很明显


可将SSL信息改为其他保持CN=XXX,OU=XXX,O=XX,L=XX,S=XX,C=XX即可


Cobaltstrike模块

cobaltstrike模块的功能选项,如下所示:


New Connection:打开一个新的“Connect”窗口,在当前窗口中新建一个连接,即可同时连接不同的团队服务器(便于团队之间的协作)。

Preferences:偏好设置,首选项,用于Cobaltstrike主界面、控制台、Teamserver连接记录、报告的样式。

Visualization:将主机以不同的权限展示出来(主要以输出结果的形式展现出来)。

VPN Interfaces:设置VPN接口。

Listeners:创建监听器。

Script Manager:查看和加载脚本。

Close:关闭当前与Teamserver的连接。


View模块


Applications:显示被控机器的应用信息。

Credentials:通过HashDump或mimikatz获取的密码或者散列值都储存在这里。

Downloads:从被控机器中下载的文件。

Event log:主机上线记录,以及与团队协作相关的聊天记录和操作记录。

Keystrokes:键盘记录。

Proxy Pivots:代理模块。

Screenshots:屏幕截图模块。

Script Console:控制台,在这里可以加载各种脚本。

Targets:显示目标。

Web log:web访问日志。


Attacks模块


Packages:

依次单击“Attacks”—>“Packages”选项,可看出一系列功能模块,如下图所示:


HTML Application:基于HTML应用的payload模块,通过HTML调用其他语言的应用组件进行攻击测试,提供了可执行文件、Powershell、VBA三种方法。

MS Office Macro:生成基于Office病毒的payload模块。

Payload Generator

Windows Executable

Windows Executable(S)


Web Drive-by:

Spear Phish: