渗透测试信息收集技巧(8)——Cobalt Strike配置

Cobalt Strike

Cobalt Strike是一款渗透测试软件，分为客户端与服务端，可以进行团队分布式操作。

• 服务端：1个
• 客户端：n个

Cobalt Strike集成了功能和模块：

• 端口转发
• 扫描多模式端口Listener
• Windows exe程序生成
• Windows dll动态链接库生成
• java程序生成
• office宏代码生成

配置过程

操作系统类型 ： kali 2021

目录结构

• teamserver：运行团队服务器的shell脚本
• cobaltstrike.jar：用于运行客户端的jar包
• cobaltstrike：运行客户端的shell脚本，如java -XX:+UseParallelGC -XX:+AggressiveHeap -XX:ParallelGCThreads=4 -jar cobaltstrike.jar $
• start.sh：运行客户端的shell脚本，与cobaltstrike作用相同
• cobaltstrike.exe：Windows客户端程序
• cobaltstrike.store：SSL秘钥库，可以使用keytool（Java数据证书管理工具）进行修改
• agscript：连接团队服务器，运行cna插件的命令行工具
• c2lint：检查profile配置文件的错误异常
• update.jar：CS升级jar包
• update.bat：CS升级批处理程序
• log：日志目录，记录目标连接和操作情况
• third-party：第三方工具

Jdk版本查看

服务端配置

进入cobalt strike文件内部，启动服务端。

./teamserver <ip> <passwd> [profile] [YYYY-MM-DD]

# ip：服务端IP
# passwd：客户端与服务端的连接密码
# profile：用户配置文件
# YYYY-MM-DD：所有payload运行结束时间

一般结合nohup命令使teamserver在后台运行，注意nohup默认将运行信息输出到nohup.out文件，若想不输出运行信息需要重定向标准输出/错误：(没有nohup则需要下载coreutils包)

apt-get install coreutils
nohup ./teamserver <ip> <passwd> [profile] [YYYY-MM-DD] >/dev/null 2>&1 &

配置客户端

• 客户端只要安装java环境，平台并无特殊要求
• Ubuntu:

java -jar cobalt strike

• windows 直接双击启动

链接服务端

• host:服务器主机
• port:50050
• user:自定义
• password:服务端设置

客户端主界面

使用

首先配置监听器。点击上方Cobalt Strike选项，弹出的下拉菜单中选择listeners，在下方弹出区域中单击Add按钮，弹出的对话框中首先输入监听器名字，然后选择payload类型，主机为shel反弹接收主机，port反弹端口，然后单击save。

生成payload。点击attacks->packages->windows executable ，弹出的对话框listener选择起初添加的监听器，output输出为靶机类型，点击generate，弹出的对话框中选择保存位置和输入payload名字。

主机上线。将生成的payload植入到靶机并运行，主机上线以后需要将默认心跳包改成0，cobalt strike为了维持连接，会每60秒发送一次连接，但是如果使用的话60秒会造成卡顿，修改方法:右键主机弹出的下拉菜单中选择session->sleep，弹出的对话框中输入0，单击确定。

本文部分图片摘自深信服安全服务认证工程师课程课件中，为方便个人学习使用，勿作商用！！！！文字内容为自己手打，并非直接搬运！如有侵权，请联系删除！！！

本文档所提供的信息仅用于教育目的及在获得明确授权的情况下进行渗透测试。任何未经授权使用本文档中技术信息的行为都是严格禁止的，并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识，不得用于非法入侵、破坏信息系统等恶意活动。我们强烈建议所有读者遵守当地法律与道德规范，在合法范围内探索信息技术。

我正在参与2024腾讯21天技术创作挑战赛｜年中回顾特别季，年中技术沉淀，拯救你的flag，快来和我瓜分大奖！