渗透测试信息收集技巧(8)——Cobalt Strike配置

Cobalt Strike

Cobalt Strike是一款渗透测试软件，分为客户端与服务端，可以进行团队分布式操作。

• 服务端：1个
• 客户端：n个

Cobalt Strike集成了功能和模块：

• 端口转发
• 扫描多模式端口Listener
• Windows exe程序生成
• Windows dll动态链接库生成
• java程序生成
• office宏代码生成

配置过程

操作系统类型 ： kali 2021

目录结构

• teamserver：运行团队服务器的shell脚本
• cobaltstrike.jar：用于运行客户端的jar包
• cobaltstrike：运行客户端的shell脚本，如java -XX:+UseParallelGC -XX:+AggressiveHeap -XX:ParallelGCThreads=4 -jar cobaltstrike.jar $
• start.sh：运行客户端的shell脚本，与cobaltstrike作用相同
• cobaltstrike.exe：Windows客户端程序
• cobaltstrike.store：SSL秘钥库，可以使用keytool（Java数据证书管理工具）进行修改
• agscript：连接团队服务器，运行cna插件的命令行工具
• c2lint：检查profile配置文件的错误异常
• update.jar：CS升级jar包
• update.bat：CS升级批处理程序
• log：日志目录，记录目标连接和操作情况
• third-party：第三方工具

Jdk版本查看

服务端配置

进入cobalt strike文件内部，启动服务端。

./teamserver <ip> <passwd> [profile] [YYYY-MM-DD]

# ip：服务端IP
# passwd：客户端与服务端的连接密码
# profile：用户配置文件
# YYYY-MM-DD：所有payload运行结束时间

一般结合nohup命令使teamserver在后台运行，注意nohup默认将运行信息输出到nohup.out文件，若想不输出运行信息需要重定向标准输出/错误：(没有nohup则需要下载coreutils包)

apt-get install coreutils
nohup ./teamserver <ip> <passwd> [profile] [YYYY-MM-DD] >/dev/null 2>&1 &

配置客户端

• 客户端只要安装java环境，平台并无特殊要求
• Ubuntu:

java -jar cobalt strike

• windows 直接双击启动

链接服务端

• host:服务器主机
• port:50050
• user:自定义
• password:服务端设置

客户端主界面

使用

首先配置监听器。点击上方Cobalt Strike选项，弹出的下拉菜单中选择listeners，在下方弹出区域中单击Add按钮，弹出的对话框中首先输入监听器名字，然后选择payload类型，主机为shel反弹接收主机，port反弹端口，然后单击save。

生成payload。点击attacks->packages->windows executable ，弹出的对话框listener选择起初添加的监听器，output输出为靶机类型，点击generate，弹出的对话框中选择保存位置和输入payload名字。

主机上线。将生成的payload植入到靶机并运行，主机上线以后需要将默认心跳包改成0，cobalt strike为了维持连接，会每60秒发送一次连接，但是如果使用的话60秒会造成卡顿，修改方法:右键主机弹出的下拉菜单中选择session->sleep，弹出的对话框中输入0，单击确定。

我正在参与2024腾讯21天技术创作挑战赛｜年中回顾特别季，年中技术沉淀，拯救你的flag，快来和我瓜分大奖！