0x00 簡(jiǎn)介

1. 什么是CobaltStrike？可以用來(lái)做什么？

CobatStrike是一款基于java編寫(xiě)的全平臺(tái)多方協(xié)同后滲透攻擊框架。CobaltStrike集成了端口轉(zhuǎn)發(fā)、端口掃描、socket代理、提權(quán)、釣魚(yú)、遠(yuǎn)控木馬等功能。該工具幾乎覆蓋了APT攻擊鏈中所需要用到的各個(gè)技術(shù)環(huán)節(jié)。

2. CobaltStrike的文件結(jié)構(gòu)

│  agscript 拓展應(yīng)用的腳本
│  c2lint  檢查profile的錯(cuò)誤異常
│  cobaltstrike
│  cobaltstrike.jar 客戶端程序
│  icon.jpg
│  license.pdf
│  readme.txt
│  releasenotes.txt
│  teamserver  服務(wù)端程序
│  update
│  update.jar
│
└─third-party 第三方工具
     README.vncdll.txt
     vncdll.x64.dll
     vncdll.x86.dll

3. CobaltStrike支持個(gè)人定制

• 修改源碼進(jìn)行深度的裁剪定制（如免殺）

• 修改c2配置，改變協(xié)議原本流量特征以躲避各種ids/ips攔截

• 使用AggressorScript腳本來(lái)加強(qiáng)自身，能夠擴(kuò)展菜單欄，Beacon命令行，提權(quán)腳本等

• 可以引用其他的通訊框架ExternalC2，ExternalC2是由Cobalt Strike提出的一套規(guī)范/框架，它允許黑客根據(jù)需要對(duì)框架提供的默認(rèn)HTTP(S)/DNS/SMB C2 通信通道進(jìn)行擴(kuò)展。

0x01 使用CobaltStrike

以下為CobaltStrike軟件包里面所包含的內(nèi)容，要開(kāi)始使用運(yùn)行軟件包里的程序，需要在服務(wù)器和客戶端都安裝并配置好java運(yùn)行環(huán)境

1. 啟動(dòng)CobaltStrike

CobaltStrike分為客戶端和服務(wù)端。Cobalt Strike 需要團(tuán)隊(duì)服務(wù)器才能使用，服務(wù)端被稱為團(tuán)隊(duì)服務(wù)器，是Beacon有效負(fù)載的控制器，團(tuán)隊(duì)服務(wù)器還會(huì)存儲(chǔ)CobaltStrike收集的數(shù)據(jù)，并管理日志記錄teamserver就為服務(wù)端的運(yùn)行程序。

1) 啟動(dòng)teamserver

CobaltStrike團(tuán)隊(duì)服務(wù)器teamserver必須以root身份運(yùn)行在所支持的操作系統(tǒng)上。 需要文件 teamserver 與 cobaltstrike.jar。

要啟動(dòng)團(tuán)隊(duì)服務(wù)器，必須以root方式啟動(dòng)運(yùn)行，如下：

sudo ./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]

# 執(zhí)行./teamserver的時(shí)候，有兩個(gè)必要參數(shù)和兩個(gè)可選參數(shù)
# <host> ：是團(tuán)隊(duì)服務(wù)器的 IP 地址。Cobalt Strike 使用此值作為其默認(rèn)的服務(wù)器主機(jī)
# <password> ：是團(tuán)隊(duì)成員用于將 Cobalt Strike 客戶端連接到團(tuán)隊(duì)服務(wù)器的密碼
# [/path/to/c2.profile] ：指定 Malleable C2 通信配置文件
# [YYYY-MM-DD] ：此參數(shù)指定以 YYYY-MM-DD 為格式的結(jié)束日期。團(tuán)隊(duì)服務(wù)器會(huì)將此結(jié)束日期嵌入其生成的每個(gè) Beacon 中。 Beacon 有效負(fù)載將拒絕在此結(jié)束日期或之后運(yùn)行。如果 Beacon 有效載荷在此結(jié)束日期或之后喚醒，它也將被運(yùn)行退出。

備注：如上截圖，當(dāng)團(tuán)隊(duì)服務(wù)器啟動(dòng)時(shí)，它將發(fā)布團(tuán)隊(duì)服務(wù)器 SSL 證書(shū)的 SHA256 哈希值。您應(yīng) 該將此哈希值分發(fā)給您的團(tuán)隊(duì)成員。當(dāng)您的團(tuán)隊(duì)成員連接時(shí)， Cobalt Strike 客戶端會(huì)在向團(tuán)隊(duì)服務(wù)器進(jìn)行身份驗(yàn)證之前詢問(wèn)是否驗(yàn)證此哈希。這是防止中間人攻擊的重要保護(hù)。

2) 啟動(dòng)Cobalt Strike Client

使用Cobalt Strike 客戶端（也就是安裝包里的cobaltstrike.jar程序）連接到團(tuán)隊(duì)服務(wù)器 ，運(yùn)行的時(shí)候不用添加任何參數(shù)。具體方式如下：

java -jar cpbaltstrike.jar   # 直接雙擊或者執(zhí)行該命令

備注：客戶端需要填入?yún)?shù)的含義

Host：指定團(tuán)隊(duì)服務(wù)器的 ip 地址

Port： 默認(rèn)端口是 50050.很少有人更改此設(shè)置。

User：團(tuán)隊(duì)服務(wù)器上的用戶名稱，此處可任意填寫(xiě)自己想使用的用戶名。

Password：填入團(tuán)隊(duì)服務(wù)器的密碼，也就是我們啟動(dòng)團(tuán)隊(duì)服務(wù)器使得第二個(gè)參數(shù)值。

點(diǎn)擊Connect 連接到 CobaltStrike 團(tuán)隊(duì)服務(wù)器。如果這是您與此團(tuán)隊(duì)服務(wù)器的第一次連接， Cobalt Strike將詢問(wèn)您是否識(shí)別此團(tuán)隊(duì)服務(wù)器的 SSL 證書(shū)的 SHA256 哈希值。如果需要，請(qǐng)點(diǎn)擊 OK， Cobalt Strike 客戶端將連接到服務(wù)器。 Cobalt Strike 還會(huì)記住這個(gè)SHA256 哈希，以便以后方便連接。

可以通過(guò) Cobalt Strike - > Preferences - > Fingerprints 管理這些哈希值。

Cobalt Strike 會(huì)跟蹤您連接的團(tuán)隊(duì)服務(wù)器并記住您的信息。從連接對(duì)話框的左側(cè)選擇其中一個(gè)團(tuán)隊(duì)服務(wù)器配置文件，以使用其信息自動(dòng)填充連接對(duì)話框。我們也可以通過(guò) Cobalt Strike - > Preferences - > Team Servers 修改此連接。

到此呢，對(duì)于CobaltStrike的服務(wù)端和客戶端都已經(jīng)啟動(dòng)完成。接下來(lái)就是對(duì)CobaltStrike的各個(gè)功能模塊進(jìn)行詳細(xì)的了解。

0x02 參考來(lái)源

404師傅：https://github.com/aleenzz/Cobalt_Strike_wiki

backlion師傅：https://www.cnblogs.com/backlion/

klion師傅：https://t./JufyZzj