?Cobalt Strike基礎使用

2025-08-04 09:16:16 RAIZ

文章作者：華盟安全團隊-- Gaowu

Cobalt Strike分為客戶端組件和服務器組件，服務器的組件也是團隊服務器，可以放在局域網或者公網下進行團隊使用，也是Cobalt Strike社會工程功能的托管機器，團隊服務器還可以存儲由Cobalt Strike收集的數據，并且進行日志管理。

Cobalt Strike服務器必須在Linux系統上運行，這里演示服務器在Linux KALI端，本地進行Cobalt Strike客戶端的連接。

CobaltStrike集成了端口轉發、服務掃描，自動化溢出，多模式端口監聽，windows exe 木馬生成，windows dll 木馬生成，java 木馬生成，office 宏病毒生成，木馬捆綁。釣魚攻擊包。

CS使用

啟動CS服務端

啟動客戶端

服務端啟動后客戶端啟動進行連接（團隊多人連接將用戶名設置為自己的用來區分團隊成員）

主界面

CS功能使用（主機上線）

1.設置監聽器用來接收會話

name：監聽器名字

payload：payload類型

Host: shell反彈的主機，kali IP

Port: 反彈端口

這里Payload有9種選項，如下：

內部的Listener

windows/beacon_dns/reverse_dns_txt

windows/beacon_dns/reverse_http

windows/beacon_http/reverse_http

windows/beacon_https/reverse_https

windows/beacon_smb/bind_pipe

外部的Listener

windows/foreign/reverse_dns_txt

windows/foreign/reverse_http

windows/foreign/reverse_https

windows/foreign/reverse_tcp

Beacon為內置的監聽器，在目標主機執行相應的payload，獲取shell到cs上;其中包含DNS、HTTP、HTTPS等，Beacon可以選擇通過DNS還是HTTP/S協議出口網絡，甚至可以在使用Beacon通訊過程中切換HTTP和DNS。其支持多主機連接，部署好Beacon后提交一個要連回的域名或主機的列表，Beacon將通過這些主機輪詢。目標網絡的防護團隊必須攔截所有的列表中的主機才可中斷和其網絡的通訊。通過種種方式獲取shell以后（比如直接運行生成的exe），就可以使用Beacon了。

Foreign為外部結合的Listener，經常用于MSF的結合，例如獲取meterpreter到MSF上。

2.生成木馬

HTML Application 生成惡意的HTA木馬文件；
MS Office Macro 生成office宏病毒文件；
Payload Generator 生成各種語言版本的payload;
Windows Executable 生成可執行exe木馬；
Windows Executable(S) 生成無狀態的可執行exe木馬