day3

Cobalt Strike

●Cobalt Srike介绍

Cobalt Strike 是一款以由美国redteam团队，研 发出来的一款以Metasploit为基础的GUI框架式渗透测试工具。 它是一款基于java的渗透测试神器，常被 业界人称为CS，也被戏称为“线上多人运动平台”

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。

CS使用了C/S架构，它分为客户端和服务端，服务端只有一个，客户端可有多个，多人 连接服务端后可协同测试，与其他人分享shell。

●Cobalt Strike服务器的搭建

1.在kali中解压压缩包并单独放入一个文件

unzip 需要解压的压缩包名

2.cd命名切换到文件夹下，并切换至可读可写可执行状态

cd  cobalt_strike_4.5
chmod 777 *
ls
./teamserver 服务器端IP地址 服务器密码

ls命令查看当前目录下文件，ifconfig查看ip，./teamserver创建服务器并设定密码

注：Windows系统中需要安装Java环境，并需要关闭防火墙。

●Cobalt Strike的客户端登陆，以及简单介绍

1.客户端登陆

cd coablt_strike_4.5
./cobaltsrike

./cobaltstrike命令进行登陆

登陆成功界面：

2.CS介绍

New Connection#新建连接：支持连接多个服务器端

Preferences#设置：Cobal Strike界面、控制台、以及输出 报告样式、TeamServer连接记录

Visualization#可视化：主要展示输出结果的视图

VPN Interfaces#VPN接口：设置VPN

Listeners#监听器：创建监听器（很重要） 管理拓展的脚本

Close#关闭：你懂的

CS生成克隆网站以及生成木马

●克隆学习通网站

1.设置监听器

点击左上方CobaltStrike选项——>在下拉 框中选择 监听器——>在下方弹出区域 中点击add

2.克隆网站

点击Attacks选项，选择clone site

攻击---钓鱼攻击---克隆网站

克隆的超星学习通网站

注：只能克隆http网站

3.打开网页后监听键盘输入

●生成.exe文件木马

1.生成文件

选择attacks模块--生成后门--下面的 windows Executable 。

2.Windows7执行木马文件

将木马文件拖入到Windows7系统中并执行（必须关闭防火墙），可以观察到cs界面有Windows7成为受害主机

后面可在*beacon>*键入后渗透命令。