声明：本文仅限学习研究讨论，切忌做非法乱纪之事！

大家好，今天简单来聊聊CobaltStrike,这是我们后渗透阶段必不可少的神器。

Cobalt Strike 是一款流行的渗透测试工具，广泛用于红队操作和渗透测试。它由Raphael Mudge创立的Strategic Cyber LLC开发，并于2012年首次发布。

Cobalt Strike 提供了一套功能强大的工具和框架，用于模拟网络攻击、横向移动、特权升级、持久化访问以及命令和控制等任务。它旨在帮助安全专业人员评估和改善组织的网络防御能力，同时提供了完整的红队操作平台。

Cobalt Strike 的核心功能包括：

1. 木马部署与远控：通过利用漏洞或社会工程学手段，在目标系统上部署后门，建立持久化的远程访问。

2. 模拟攻击：模拟各种常见的攻击向量和技术，如钓鱼、恶意文件传递、漏洞利用等，用于评估目标系统的脆弱性。

3. 内网渗透和横向移动：从一个受感染的系统扩散到其他系统，并获取高权限访问权限。

4. 网络侦察：收集目标网络的信息，识别可攻击的资产和漏洞。

5. 命令和控制：与受感染的系统建立指挥和控制通道，远程执行命令和任务。

6. 报告和日志记录：生成详细的渗透测试报告，并记录操作和活动日志。

今天我们来从部署cs开始一步一步感受这个大杀器

我是在真机部署的

杀毒已关，不然报毒麻烦。

现在的测试环境是

kali cs服务端 192.168.192.xx

windows11 cs客户端 192.168.192.xx

windows10 靶机 192.168.192.xx

我们把下载好的cs 客户端win11放一份  服务端kali放一份

1.启动CobaltStrike

kali去起cs的服务端

./teamserver 192.168.192.xx passwd            (这里的passwd随便填得记住 待会连接客户端得用)

报错了权限不够 我们得保证 teamserver 有足够的权限。

 

这个就代表运行成功了

接下来我们去客户端win11 去起客户端

 打开运行这个bat文件

 主机输我们服务端的ip  也就是kali的ip

端口

 这里提示的是50050

用户名任意 密码输入我们刚才设置的123

今天简单示例一波生成木马让主机上线  还有一个就是添加插件 为自己的cs插上翅膀

生成木马让主机上线

第一步配置监听器

 配置的监听ip 就是kali 我们起的服务端ip

HTTP port(c2)是我们要监听的端口 任意不冲突即可

然后点击save 保存即可

已经成功配置监听器

接下来我们开始生成木马

 

我们的win11靶机是64位的 就把64位打上对勾

然后选择生成

点击保存 我们去这个文件目录找到木马程序exe 

 把它拖到win10虚拟机里面

我们点击一下  使木马运行 让这个win10主机 上线到我们的cs客户端

win10主机成功上线

接下来我们就可以进行一些点点的恶意操作了

右键上线主机

有很多功能

我们来点简单的简单演示一下即可

 演示一下我们得先微调个东西

它有一个sleep时间  这个代表你选择完功能去执行 它不会马上执行 而是60秒后去执行

我们去调成3秒运行

 我们右键上线主机去选择两个功能试试看

 

 再试试文件管理功能

 

 第一个需求我们已经搞定了 接下来是为cs安装翅膀  部署武器库（安装插件）

第一步

 第二步

Load是加载插件

unload是删除插件

我们点击load 加载

 我这一共是五个插件 巨龙拉冬  lstar 欧拉 梼杌 谢公子    第一个文件夹是cobaltstrike的目录无视即可

 分别加载cna结尾的文件

已经加载完毕

这下心里美滋滋

还有一点要记住

Cobalt Strike 的插件通常加载到已被感染的主机上，以扩展 Cobalt Strike 框架的功能。

当攻击者使用 Cobalt Strike 控制台与代理主机建立连接后，插件会通过控制台发送给代理主机进行加载。一旦插件成功加载到代理主机上，攻击者就可以在 Cobalt Strike 控制台中看到相应的插件功能。

Cobalt Strike 之所以只有主机上线了才显示功能，是因为插件需要与主机建立网络连接并加载到主机上，才能在 Cobalt Strike 控制台中显示相应的功能选项。这种设计使得插件可以根据实际情况动态加载和卸载，从而提供更好的灵活性和可扩展性。