CS介紹

團隊服務器

Cobalt Strike 分為客戶端組件和服務器組件。服務器組件，也就是團隊服務器，是 Beacon payload 的控制器，也是 Cobalt Strike 社會工程功能的托管主機。團隊服務器還存儲由 Cobalt Strike 收集的數據，并管理日志記錄.啟動CS的團隊服務器，使用 Cobalt Strike Linux 安裝包中的 teamserver 腳本文件。團隊服務器的啟動命令包含兩個必填的參數和兩個選填的參數。必填1.是團隊服務器的外部可達 IP 地址2.密碼 　　#你的團隊成員將使用此密碼從自己 Cobalt Strike 客戶端去連接至 Cobalt Strike 團隊服務器。tips:當團隊服務器啟動，它會發布團隊服務器的 SSL 證書的 SHA256 hash。你需要給你的團隊成員分發這個 hash。當你的團隊成員連接團隊服務器時，在身份驗證至團隊服務器前、他們的 Cobalt Strike 客戶端會詢問他們是否承認這個 hash 。

CS客戶端

CS客戶端啟動時，你會看到一個連接對話框。

HOST:指定teamserver的add。默認端口為50050

(資料圖片)

user改為外號 passowrd填寫teamserver的共享密碼

connect鏈接CS的teamserver

第一次連接

Cobalt Strike 會詢問你是否承認這個團隊服務器的 SHA256hash。如果你承認，那么按 OK ，然后 Cobalt Strike 的客戶端就會連接到這個團隊服務器。CobaltStrike 也會在未來的連接中記住這個 SHA256 hash。你可以通過 Cobalt Strike→ Preferences → Fingerprints 來管理這些團隊服務器的 hash

用戶接口

工具條

Cobalt Strike 頂部的工具條提供訪問 Cobalt Strike 常用功能的快捷方式

目標表

目標表展示了 Cobalt Strike 的數據模型中的目標。此目標表展示了每個目標的 IP 地址，它的 NetBIOS名稱，以及你或者你的團隊成員給目標標記的一個備注。每個目標最左側的圖標表示了它的操作系統。帶有閃電的紅色圖標表示此目標具有一個與之通信的 Cobalt Strike Beacon 會話點擊表頭字段（ address ）來排序主機。高亮一行并右擊來打開一個菜單，此菜單有針對這臺主機的操作選項。按住 Ctrl + Alt ，然后通過點擊來選擇和取消選擇某臺主機。這個目標表對于橫向移動和理解你的目標網絡很有用。

會話表

會話表展示了哪些 Beacon 回連到了這臺 Cobalt Strike 實例。Beacon 是 Cobalt Strike 用于模擬高級威脅者的 payload。在這里，你將看到每個 Beacon 的外網 IP 地址、內網 IP 地址、該 Beacon 的出口監聽器、此 Beacon 最后一次回連的時間，以及其他信息。每一行最左邊是一個圖標，用于說明被害目標的操作系統。如果此圖標是紅色的、并且帶有閃電，那么說明此 Beacon 運行在管理員權限的進程中。一個褪色的圖標意味著此 Beacon 會話被要求離開并且它接受了此命令。

數據管理

teamserver是CS收集的所有信息的中間商。Cobalt Strike 解析來自它的 Beacon payload 的輸出，提取出目標、服務和憑據。

目標

你可以通過 View → Targets 來與 Cobalt Strike 的目標的信息交互。這個標簽頁顯示與目標表視圖相同的信息。點擊 Import 來導入一個帶有目標信息的文件。Cobalt Strike 接受每行一個主機的 flflat 文本文件（純文本文件），也接受由 Nmap 生成的 XML 文件（-oX 選項）。點擊 Add 按鈕來給 Cobalt Strike 的數據模型添加新的目標。這個對話框允許你向 Cobalt Strike 的數據庫添加多個主機。在 Address （地址）字段指定一個 IP 地址的范圍或使用 CIDR 表示法來一次添加多個主機。在給數據模型添加主機時，按住 shift 可以使得在點擊 Save 之后仍保持這個對話框打開。選擇一個或多個主機然后單擊右鍵來打開主機菜單。通過這個菜單你可以修改對主機的備注、設置它們的操作系統信息，或者從這個數據模型中移除主機。

服務

在一個 Target （目標）視圖中，在一臺主機上單擊右鍵，并選擇 Services （服務）。這會打開Cobalt Strike 的服務瀏覽器。在這里你可以瀏覽服務，給不同的服務備注，也可以移除服務條目

憑據

通過 View → Credentials 來與 Cobalt Strike 的憑據模型交互。點擊 Add 按鈕來給憑據模型添加一條條目。同樣的，你也可以按住 Shift 鍵來保持對話框打開并使得給模型添加新的憑據更方便。點擊Copy 來復制高亮的條目至你的剪貼板。使用 Export 來以 PWDump 格式導出憑據。

維持

Cobalt Strike 的數據模型將其所有的狀態和狀態元數據存儲在 data/ 文件夾。 data/ 文件夾存在在你運行 Cobalt Strike 團隊服務器的那個文件夾里。要清除 Cobalt Strike 的數據模型：停止團隊服務器，刪除 data/ 文件夾及其內容。當你下次啟動團隊服務器的時候，Cobalt Strike 會重建 data/ 文件夾通過 Reporting → Reset Data 可以在不重啟團隊服務器的情況下重置 Cobalt Strike 的數據模型

監聽器和基礎設施

一旦teamserver啟動并運行，你將需要連接到它并將其配置為接收來自受害系統的連接。listener就是 Cobalt Strike 中用來執行這種任務的機制。

監聽器管理

要管理 Cobalt Strike 的監聽器，通過 Cobalt Strike → Listeners 。這會打開一個標簽頁，列舉出所有你的配置的 payload 和監聽器。按 Add 按鈕來創建一個新的監聽器。當你創建一個監聽器，確保你給他一個好記的名稱。在 Cobalt Strike 的命令和工作流程中你需要使用此名稱來引用此監聽器。要編輯監聽器，選中一個監聽器，然后按 Edit 。要移除一個監聽器，選中該監聽器，然后按 Remove 。

CS的beacon payload

最常見的情況是，你需要為 Cobalt Strike 的 Beacon payload 配置監聽器。Beacon 是 Cobalt Strike的 payload，用于建模高級攻擊者。使用 Beacon 來通過 HTTP，HTTPS 或 DNS 出口網絡。Beacon 的網絡流量指標具有拓展性?？梢允褂?Cobalt Strike 的可拓展的 C2 語言來重新定義 Beacon的通信。這允許你掩蓋 Beacon 行動，比如使其流量看起來像其他的惡意軟件，又或者將其流量摻入作為合法流量。

payload staging （payload 分階段）

payload 就是攻擊執行的內容。payload 通常被分為兩部分：payload stage 和 payload stager。stager 是一個小程序，通常是手工優化的匯編指令，用于下載一個payload stage、把它注入內存，然后對其傳達執行命令。這個過程被稱為 staging（分階段）。staging（分階段）過程在一些攻擊行動中是必要的。很多攻擊中對于能加載進內存并在成功漏洞利用后執行的數據大小存在嚴格限制。這會極大地限制你的后滲透選擇，除非你分階段傳送你的后滲透payloadCobalt Strike 在它的用戶驅動攻擊中使用 staging（分階段）。大多數這類項目在Attacks → Packages 和 Attacks → Web Drive-by 選項下。使用什么樣的 stager 取決于與攻擊配對的 payload。比如，HTTP Beacon 有一個 HTTP stager。DNS Beacon 有一個 DNS TXT 記錄 stager。不是所有的 payload 都有 stager 選項。沒有 stager 的 Payload 不能使用這些攻擊選項投遞。在 Cobalt Strike 4.0 及以后的版本中，后滲透和橫向移動的行為避開了 stager 并選擇去盡可能的投遞一個完整的 payload。如果你禁用了 payload staging（分階段），那么除非你準備做后滲透那么你應該不會注意到此變動

http beacon /https beacon

默認設置情況下，HTTP 和 HTTPS Beacon 通過 HTTP GET 請求來下載任務。這些 Beacon 通過 HTTP，POST 請求傳回數據。你也可以通過 C2 拓展文件來極盡可能的控制這個 payload 的行為和流量指標。要起一個 HTTP 或 HTTPS Beacon 監聽器，通過 Cobalt Stike → Listeners 。點擊 Add 按鈕，選擇 Beacon HTTP 作為你的 payload 選項4.0版本按 [+] 來為 HTTP Beacon 增加一個或多個回連的主機。按 [-] 來移除一個或多個主機。按 [X] 來清除當前的主機。如果你有多個主機，仍然可以在此對話框中粘貼以逗號分隔的回連主機列表，這是可行的。HTTP Host(Stager) 字段控制 HTTP Beacon 的 HTTP Stager 的主機。僅當你將此 payload 與需要顯式 stager 的攻擊配對時，才使用此值。通過 Profile 字段，你可以選擇一個 C2 拓展文件變體。通過一個 C2 文件變體，你可以在一個文件中指定多個配置文件的變量。使用變體文件之后，你設置的每個 HTTP 或 HTTPS 監聽器會有不同的網絡流量指標。HTTP Port(C2) 字段設置你的 HTTP Beacon 回連的端口。 HTTP Port(Bind) 字段指定你的 HTTPBeacon payload web 服務器綁定的端口。如果你要設置端口彎曲重定向器（例如，接受來自 80 或443 端口的連接但將連接路由到團隊服務器開在另一個端口上的連接，這樣的重定向器），那么這些選項會很有用。如果 HTTP Host Header 值被指定了，會影響你的 HTTP stagers，并通過你的 HTTP 通信。這個選項使得通過 Cobalt Strike 利用域名前置變得更加容易。點擊 HTTP Proxy 字段旁邊的 ... 按鈕來為此 payload 指定一個顯式的代理配置。

3.13版本

手動http代理設置

(Manual) Proxy Settings 對話框提供了多個選項來控制 Beacon 的 HTTP 和 HTTPS 請求的代理配置。Beacon 的默認行為是為當前的進程/用戶上下文使用 Internet Explorer 代理配置。Proxy Type 字段配置了代理的類型。 Proxy Host 和 Proxy Port 字段告訴 Beacon 代理在哪里運行。 Username 和 Password 字段是可選的，這些字段指定了 Beacon 用來對代理進行身份驗證的憑據。勾選 Ignore proxy settings;use direct connection （忽略代理設置；使用直連）來強制Beacon 不通過代理嘗試其 HTTP 和 HTTPS 請求。當你填寫好代理配置之后，點擊 Set 來更新 Beacon 對話框。點擊 Reset 可以把代理配置重置為默認行為。

重定向器

重定向器是位于你的目標網絡和你的團隊服務器之間的系統。任何去往重定向器的連接將轉發到你的團隊服務器進行處理。通過重定向器，可以為你的 Beacon payload 提供多個回連主機。使用重定向器還有助于提升行為安全，因為它會使溯源團隊服務器的真實地址變得更加困難。Cobalt Strike 的監聽器管理功能支持使用重定向器。當你設置一個 HTTP 或 HTTPS Beacon 監聽器的時候，簡單的指定你的重定向器 IP （在 Host 字段填入）。Cobalt Strike 不會驗證這個信息。如果你提供的 host 不隸屬于當前主機（不是團隊服務器的 IP），那么 Cobalt Strike 就假設它是重定向器。一種把服務器轉變為重定向器的簡單方法是使用 socat。下面是一句 socat 語法，作用是：將80端口上的所有連接轉發到位于192.168.12.100的團隊服務器的80端口：socat TCP4-LISTEN:80,fork TCP4:192.168.12.100:80

cobalt strike模塊詳解

cobalt strike模塊功能選項

new connection:打開一個新的connect窗口。在當前窗口中新建一個連接，即可同時鏈接不同的teamserver（便于團隊之間的協作）

preferences：偏好設置，首選項

visualization:主機以不同的權限展示出來

VPN interfaces:設置VPN接口

listeners:創建監聽器

script manager : 查看加載CNA腳本

close:關閉當前與teamserver的連接

view模塊

application：顯示被控機器的應用信息

credentials 通過hashdump或mimikatz獲取的密碼或者散列值都存儲在這里

downloads:從被控機器下載的文件

event log 主機上線記錄，以及與團隊協作相關的聊天記錄和操作記錄

keystrokes:鍵盤記錄

proxy pivots:代理模塊

screenshots：屏幕截圖模塊

script console 控制臺，加載各種腳本

targets:顯示目標

web log ：web訪問日志

attacks模塊

packages模塊

HTML application：基于HTML應用的payload模塊，通過html調用其他語言的應用組件進行攻擊測試，提供了可執行文件，powershell，VBA三種方法MS Office macro ：生成基于office病毒的payload模塊payload generator：payload生成器，可以生成C#，c com scriptlet,java,perl,pwershell,python,ruby,vba等payloadUSB/CD autoplay 用于生成利用自動播放功能運行的后門文件windows dropper 捆綁器，能夠對文件進行捆綁并執行payloadwindows executable 生成32位或64位的exe或基于服務的exe，dll等后門程序。windows executalbe(S) 生成一個win的可執行文件，包含beacon的完整payload。不需要階段性請求，與上面的相比提供代理設置。

web drive-by模塊

基于網絡驅動的功能模塊manage 管理器，用于對teamserver上已經開啟的web服務進行管理，包括listener和web deliveryclone site：用于克隆指定網站樣式host file：指定文件加載到web目錄中script web delivery ： 基于web的攻擊測試腳本，自動生成可執行payloadsigned applet attack ： 使用java自簽名的程序進行釣魚攻擊。（用戶如果有applet權限就會執行其中的惡意代碼）smart applet attack ： 自動檢測java的版本并進行跨平臺和跨瀏覽器的攻擊測試system profiler ： 客戶端檢測工具，可以用來獲取系統信息