【CobaltStrike】CobaltStrike简介与使用

CobaltStrike简介与使用

0x00 简介

1. 什么是CobaltStrike?可以用来做什么?

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节。

 

2. CobaltStrike的文件结构

│  agscript 拓展应用的脚本
│  c2lint  检查profile的错误异常
│  cobaltstrike
│  cobaltstrike.jar 客户端程序
│  icon.jpg
│  license.pdf
│  readme.txt
│  releasenotes.txt
│  teamserver  服务端程序
│  update
│  update.jar
│
└─third-party 第三方工具
     README.vncdll.txt
     vncdll.x64.dll
     vncdll.x86.dll

 

3. CobaltStrike支持个人定制

  • 修改源码进行深度的裁剪定制(如免杀)
  • 修改c2配置,改变协议原本流量特征以躲避各种ids/ips拦截
  • 使用AggressorScript脚本来加强自身,能够扩展菜单栏,Beacon命令行,提权脚本等
  • 可以引用其他的通讯框架ExternalC2,ExternalC2是由Cobalt Strike提出的一套规范/框架,它允许黑客根据需要对框架提供的默认HTTP(S)/DNS/SMB C2 通信通道进行扩展。

 

0x01 使用CobaltStrike

以下为CobaltStrike软件包里面所包含的内容,要开始使用运行软件包里的程序,需要在服务器和客户端都安装并配置好java运行环境

1. 启动CobaltStrike

CobaltStrike分为客户端和服务端。Cobalt Strike 需要团队服务器才能使用,服务端被称为团队服务器,是Beacon有效负载的控制器,团队服务器还会存储CobaltStrike收集的数据,并管理日志记录teamserver就为服务端的运行程序。

1) 启动teamserver

CobaltStrike团队服务器teamserver必须以root身份运行在所支持的操作系统上。 需要文件 teamserver 与 cobaltstrike.jar。

要启动团队服务器,必须以root方式启动运行,如下:

sudo ./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]

# 执行./teamserver的时候,有两个必要参数和两个可选参数
# <host> :是团队服务器的 IP 地址。Cobalt Strike 使用此值作为其默认的服务器主机
# <password> :是团队成员用于将 Cobalt Strike 客户端连接到团队服务器的密码
# [/path/to/c2.profile] :指定 Malleable C2 通信配置文件
# [YYYY-MM-DD] :此参数指定以 YYYY-MM-DD 为格式的结束日期。团队服务器会将此结束日期嵌入其生成的每个 Beacon 中。 Beacon 有效负载将拒绝在此结束日期或之后运行。如果 Beacon 有效载荷在此结束日期或之后唤醒,它也将被运行退出。

 

备注:如上截图,当团队服务器启动时,它将发布团队服务器 SSL 证书的 SHA256 哈希值。您应 该将此哈希值分发给您的团队成员。当您的团队成员连接时, Cobalt Strike 客户端会在向团队服务器进行身份验证之前询问是否验证此哈希。这是防止中间人攻击的重要保护。

 

2) 启动Cobalt Strike Client

使用Cobalt Strike 客户端(也就是安装包里的cobaltstrike.jar程序)连接到团队服务器 ,运行的时候不用添加任何参数。具体方式如下:

java -jar cpbaltstrike.jar   # 直接双击或者执行该命令

 

 

备注:客户端需要填入参数的含义

Host:指定团队服务器的 ip 地址

Port: 默认端口是 50050.很少有人更改此设置。

User:团队服务器上的用户名称,此处可任意填写自己想使用的用户名。

Password:填入团队服务器的密码,也就是我们启动团队服务器使得第二个参数值。

点击Connect 连接到 CobaltStrike 团队服务器。如果这是您与此团队服务器的第一次连接, Cobalt Strike将询问您是否识别此团队服务器的 SSL 证书的 SHA256 哈希值。如果需要,请点击 OK, Cobalt Strike 客户端将连接到服务器。 Cobalt Strike 还会记住这个SHA256 哈希,以便以后方便连接。

可以通过 Cobalt Strike - > Preferences - > Fingerprints 管理这些哈希值。

 

Cobalt Strike 会跟踪您连接的团队服务器并记住您的信息。从连接对话框的左侧选择其中一个团队服务器配置文件,以使用其信息自动填充连接对话框。我们也可以通过 Cobalt Strike - > Preferences - > Team Servers 修改此连接。

 

到此呢,对于CobaltStrike的服务端和客户端都已经启动完成。接下来就是对CobaltStrike的各个功能模块进行详细的了解。

 

0x02 参考来源

404师傅:https://github.com/aleenzz/Cobalt_Strike_wiki

backlion师傅:https://www.cnblogs.com/backlion/

klion师傅:https://t.zsxq.com/JufyZzj

posted @ 2019-04-10 16:28  AskTa0  阅读(5811)  评论(0编辑  收藏  举报