【内网安全-CS】Cobalt Strike启动运行&上线方法&插件

简介: 【内网安全-CS】Cobalt Strike启动运行&上线方法&插件

一、启动运行


环境:linux+Cobalt Strike目录


1、第一步:进入cs目录


在cs目录打开终端

b2a600b0323c49109a45729849c12feb.png


2、第二步:查看本机ip


Linux是ifconfig(ipconfig是window中的)

2326ac938e7046d091bc362ca5969c91.png


3、第三步:启动"团队服务器"


在cs目录中启动"团服务器teamserver"


./teamserver  ip  密码

9734caab6a6541ef9b2450d9612f5602.png



4、第四步:客户端连接


(客户端可以在Linux中启动,也可以在windows中启动)


Linux:./cobaltstrike

8f37a85895914ebb9d525eddf46a17f7.png

windows:双击exe文件(或者bat批处理文件)


d7116488ba3640cdb0e4883650f7ec36.png


Alias:为别称,随便写

host:填写团服务器ip

port:默认50050

user:随便写

Password:启动团服务器时候设置的密码

53e2b1daa6174725978cb30f8d709e2d.png

第一次登陆会校验hash

9041023575034bc4bb2669c7db81229d.png


客户端启动成功

813b749cc95346299a11d8f341d0b2be.png


二、上线方法


1、第一步:生成监听器

5f991e58f1074cbabd7c494f92f12777.png


df8687365be14547b88f2eaa1653b7fc.png


Name:命名

Payload:选类型

HTTP Hosts:反弹shell的主机,填kali的ip

HTTP Hosts(Stager):Stager的马请求下载payload的地方

HTTP Port(c2):c2监听的端口


dbf0dc24ed1d459c9041a6052e64f866.png

32ac4d5111db48c4a7b3bfca764edc79.png2385211d66ad4138b57ad660cca52535.png


2、第二步:生成木马


木马生成(我用的魔改版的,原版的是Attacks->Packages->HTML Application)

d67c5378313d404285b84e8f8fd0c600.png

4585b65f93354d598f3faf10635bb020.png

fb04f544ddb342ca9e21f1c0ae5079cf.png

594d137f93324b2b989f22afcc63225a.png


3、第三步:上线


点击创建后会生成一个名为artifact.exe的文件,在受害机上运行后可直接在客户端看见目标上线


4809e4686f7c4bc2a706eaaed38d03e2.png


执行以后,可以在Cobalt Strike的日志里面看到一条日志,在Cobalt Strike 的主页面中可以看到一台机器上线

0178b0cb976c4a64b7caa78fa86891e0.png

8f6c4afbf0d7476397abe5a3e60fc365.png


进一步的利用

e9b61925bb9c49d98112d829603177a0.png


三、加载插件


1、常用插件:

df9cd620b8af4baea5651a2023153445.png


2、加载步骤:


第一步:点击 CobaltStrike---> 脚本管理器--->Load


8d7abb794b9e476baea41e0384428150.png

42df85f4b09c4df3a02dbc9bfd66034b.png


第二步:加载脚本

然后选择.cna后缀的文件进行加载

c709aeb64f7b4ca3a1395c2dc53941b9.png

7d62be979184459ab44139ed85f387fe.png

目录
相关文章
|
存储 测试技术 KVM
创建台虚拟机并安装上window10系统(NETBASE 第一课)
创建台虚拟机并安装上window10系统(NETBASE 第一课)
134 0
|
Linux 数据安全/隐私保护 Windows
【远程编辑工具UE】超好用的工具UltraEdit(UE)远程连接Linux的方法,以及FTP Component Failuer连接失败的解决方法
【远程编辑工具UE】超好用的工具UltraEdit(UE)远程连接Linux的方法,以及FTP Component Failuer连接失败的解决方法
413 0
【远程编辑工具UE】超好用的工具UltraEdit(UE)远程连接Linux的方法,以及FTP Component Failuer连接失败的解决方法
|
存储 安全 网络协议
文件cs上线主机及攻击使用ping工具
Hancitor是一种信息窃取程序和恶意软件下载程序,被指定为MAN1,Moskalvzapoe或TA511的威胁参与者使用。在2018年的威胁简介中,我们指出Hancitor相对不成熟,但在未来数年中仍将是威胁。大约三年后,Hancitor仍然是一种威胁,并且已经演变为使用Cobalt Strike之类的工具。最近几个月,该参与者开始使用网络ping工具来帮助枚举受感染主机的Active Directory(AD)环境。该博客说明了Hancitor背后的威胁参与者如何使用网络ping工具,以便安全专业人员可以更好地识别和阻止其使用。
245 0
文件cs上线主机及攻击使用ping工具
|
安全 Linux
VirtualBox中的WIN7开启Aero模式要谨慎
VirtualBox中的WIN7开启Aero模式要谨慎
275 0
关于 Photoshop20xx系列启动出现“应用程序无法正常启动(0xc0000022)“无法启动 的解决方法
关于 Photoshop20xx系列启动出现“应用程序无法正常启动(0xc0000022)“无法启动 的解决方法
关于 Photoshop20xx系列启动出现“应用程序无法正常启动(0xc0000022)“无法启动 的解决方法
|
监控 JavaScript 应用服务中间件
C# WinForm 开发配置文件更新/EXE应用启动及监控检测工具
使用C# WinForm 开发快速更新配置文件切换环境以及启动外部EXE应用并进行监控的windows桌面EXE应用
|
SQL 存储 安全
代理 XP”组件已作为此服务器安全配置的一部分被关闭。系统管理员可以使用 sp_configure 来启用“代理 XP”
新建维护计划的时候遇到下图的报错信息  标题: Microsoft SQL Server Management Studio------------------------------ “代理 XP”组件已作为此服务器安全配置的一部分被关闭。
2734 0