目录
一、什么是 Cobalt Strike?
官方说明:Cobalt Strike
是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。本章中会概述
Cobalt Strike
的功能集和相关的攻击流程。
个人理解:也就是内网渗透测试阶段团队使用的一个工具,用来转发一些需要的权限
使用 Cobalt Strike 来协调红队的分散行动。使用一个或更多的远程主机分阶段的筹划 Cobalt Strike 基础设施。启动团队服务器并让你的团队与其建立连接。
建立连接的要求:
1.使用相同的会话
2.分享主机、捕获的数据和下载的文件
3.通过一个共享的事件日志交流
二、功能介绍
首先我们先打开cs
开启cs服务
下图为我们看到的页面
1.CS基础功能
(1)新建连接
(2)设置
(3)监听器
(4)VPN接口
(5)脚本管理器
2.视图
这里主要因为是中文版本,那么就很简单可以直接字面理解
应用信息:就是对方操作系统上的一些应用和信息
凭证信息:说白了就是密码
文件下载:对方下载了什么文件
日志:网络记录
键盘记录:敲键盘敲了什么
代理信息:配置代理,主要正对两台内网主机,其中一个作为跳板进行配置代理
屏幕截图:对方截图的信息显示再cs
目标:就是看目标主机的在线状态
web日志:网站访问等信息的记录
3.其他介绍
(1)Cobalt Strike 编写脚本
Cobalt Strike 可通过它的 Aggressor Script 语言来为其编写脚本。Aggressor Script 是 Armitage 的Cortana 脚本语言的精神继任者,虽然这两者并不兼容。在 Cobalt Strike 内有一个默认的脚本,定义了展示在 Cobalt Strike 控制台的所有弹出菜单和格式信 息。通过 Aggressor Script 引擎,你可以覆盖这些默认设置、根据偏好个性化设置 Cobalt Strike。 也可以使用 Aggressor Script 来给 Cobalt Strike 的 Beacon 增加新的功能和使特定的任务自动化。
(2)会话和目标可视化展示
Cobalt Strike 有多种可视化展示,这些不同的设计是为了帮助你的行动中的不同部分。你可以通过工具条或 Cobalt Strike → Visualization (可视化)菜单在不同的可视化形式之间切换。 展示了 Cobalt Strike 的数据模型中的目标。此目标表展示了每个目标的 IP 地址,它的 NetBIOS 名称,以及你或者你的团队成员给目标标记的一个备注。每个目标最左侧的图标表示了它的操作系统。 带有闪电的红色图标表示此目标具有一个与之通信的 Cobalt Strike Beacon 会话。
(3)监听器管理
要管理 Cobalt Strike 的监听器,通过 Cobalt Strike → Listeners 。这会打开一个标签页,列举出 所有你的配置的 payload 和监听器。 payload staging(分阶段传送 payload)。在很多攻击框架的 设计中,解耦了攻击和攻击执行的内容。payload 就是攻击执行的内容。payload 通常被分为两部分: payload stage 和 payload stager。stager 是一个小程序,通常是手工优化的汇编指令,用于下载一个 payload stage、把它注入内存,然后对其传达执行命令。这个过程被称为 staging(分阶段)。
三、小结
后续将更新cs实战操作5-6篇,各位小伙伴敬请期待