一、简介

Cobalt Strike是一款美国RedTeam开发的渗透测试神器，常被业界人称为CS。最近这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名工具，因此广受黑客喜爱。Cobalt Strike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内网渗透以及APT攻击。

二、相关实验

环境：

服务端：KaliLinux（192.168.205.128）；

客户端：Windows10（192.168.60.49）；

靶机：WindowsServer2003（192.168.205.141）WindowsServer2008（192.168.205.136）

（一）启动、连接服务端

步骤一：服务端启动服务

将下载好的破戒版CS拷贝到Kali中运行，命令如下：

注：./teamserver+服务端IP地址+客户端连接密码（./teamserver 192.168.205.128 test）;

服务端运行成功~

步骤二：客户端连接

运行破戒版文件夹中的“cs.bat”文件：

启动密码为“test”，点击连接 连接成功

（二）让主机上线

步骤一：创建监听器

点击Save 创建成功

步骤二：创建payload，让靶机上线

保存，文件名可以自定义，后缀名不能改变！

将生成的artifact.exe拷贝到靶机（192.168.205.141）上运行，主机上线：

靶机密码为123456，经试验复杂密码也可查看。

除此之外、可以查看上线主机的磁盘信息，进行端口扫描，查看进程等信息。同理如果将生成的artifact.exe作为附件发送给其他人，只要有人点击，则他的机器会上线。不过现在的电脑都装 了杀毒软件，所以payload需做免杀。这个后续在研究。

（三）结合metasploit反弹shell

步骤一：在kali中开启使用命令开启metasploit

步骤二：设置反弹shell的payload

payload运行中~

步骤三：在靶机中创建监听器

在靶机中使用Cobalt Strike创建一个windows/foreign/reverse_tcp的Listener。其中ip为Metasploit的ip地址，端口为Metasploit所监听的端口。

点击“Save” 右键选中增加会话 点击Choose 正在反弹shell，有点儿慢

（四）使用office宏payload连接靶机

步骤一：生成office宏

选择监听器

步骤二：创建带宏的word文件

在Word中使用组合键Alt+F8，打开宏窗口创建宏；

将复制的payload代码拷贝到宏中保存后退出即可

步骤三：运行带宏Word，连接CS客户端

宏被禁止是因为word中宏的安全全级别较高，将宏安全级别设置为最低即可，依次打开“工具”、“宏”、“安全性”进行以下设置；

再次运行：

（五）信息搜集实验

步骤一：创建payload

英文字面意思

步骤二：测试

使用靶机访问http://192.168.205.128:80进行测试。是否可以返回靶机信息

·

注：可以通过https://bitly.com为http://192.168.205.128:80/生成url短链接，访问生成的短连接也可返回靶机信息；CS信息搜集作用不大。

（六）hta网页挂马

步骤一：创建监听器、生成hta

步骤二：使用文件下载

点击开始 OK

进行完以上操作后，服务端uploads目录下会产生evil.hta文件：

步骤三：克隆网站

success

步骤四：靶机访问http://192.168.205.128:80/

键盘记录，可以记录被克隆网页上的用户输入，据此克隆其他网址亦可以记录用户输入；

（七）邮件钓鱼

发送成功 成功接收邮件，运行附件木马文件或者访问钓鱼网址都会向攻击者返回信息

（八）Sock代理应用

应用环境：攻击者不能访问内网中其他网络，但是肉鸡可以访问（内置双网卡），这里通过CS借用肉鸡实现内网横向渗透。

步骤一：设置代理端口

右键打开 设置代理端口

步骤二：查看代理信息

点击Tunnel 复制文本框中的内容

步骤四：服务端利用msf模块直接攻击

将复制的命令直接在MSF中运行，设置代理；

重新打开终端，创建一个MSF窗口：

利用蛮舒服内置的扫描工具探测内网其他主机开放的端口

（九）CS提权

步骤一：下载提权payload

GitHub - rsmudge/ElevateKit: The Elevate Kit demonstrates how to use third-party privilege escalation attacks with Cobalt Strike's Beacon payload.

解压后 添加脚本

将解压出来的文件夹加载到CS中，利用其中的payload实现提权：

点击打开 对靶机进行提权操作，提升权限至system 正在通过payload进行提权操作

我这里提示报错，通过提示可知，payload通过修改rundll23来提升权限至system，解决一下报错问题提权应该会成功~

成功后的提示：