【笔记】CobaltStrike实现Windows上线

发表于 更新于 阅读次数:

前言

CobaltStrike实现Windows上线

TCP协议

正向连接

攻击者添加监听器

  • CobaltStrike->监听器->添加

  • 创建监听器->保存

名字:自定义
Payload:Beacon TCP
端口:自定义

攻击者生成木马

  • 攻击->生成后门->Windows可执行程序(Stageless)

  • 监听器选择上一步骤创建的监听器,输出格式选择Windows EXE,根据需要在x64勾选或取消勾选使用x64 payload->生成

受害者执行木马

  • 受害者执行木马,会自动监听端口,等待CobaltStrike服务端主动连接

攻击者主动建立连接

1
beacon> connect <ip> <port>

HTTP协议

反向连接

攻击者添加监听器

  • CobaltStrike->监听器->添加

  • 创建监听器->保存

名字:自定义
Payload:Beacon HTTP
HTTP地址:CobaltStrike服务端IP
HTTP地址(Stager):CobaltStrike服务端IP

  • 反向连接监听器创建成功后会自动在CobaltStrike服务端监听端口,等待受害者上线

攻击者生成木马

  • 攻击->生成后门->Windows可执行程序

  • 监听器选择上一步骤创建的监听器,输出格式选择Windows EXE,根据需要在x64勾选或取消勾选使用x64 payload->生成

受害者执行木马

  • 受害者执行木马,会主动连接CobaltStrike服务端,上线成功后,攻击者可以看到新的会话

HTTPS协议(使用默认SSL证书)

启动服务时指定默认证书文件

1
java -Djavax.net.ssl.keyStore=./cobaltstrike.store -classpath ./cobaltstrike.jar server.TeamServer

HTTPS协议(使用自定义SSL证书)

生成自定义store证书文件

启动服务时指定新生成的证书文件

1
java -Djavax.net.ssl.keyStore=./<file>.store -classpath ./cobaltstrike.jar server.TeamServer

完成