cobalt strike 上线分析（CobaltStrike是什么简单入门教学）

著名的MSF（Metasploit ），可是各位黑白帽必不可少的工具之一，其中MSF还有不少的版本，该公司还有如下产品！

1.Metasploit Framework Edition

免费版本。它包含一个命令行界面，第三方导入，手动利用和手动暴力破解。这个免费的Metasploit项目版本还包括Zenmap（一个著名的端口扫描程序）和Ruby（该版本的Metasploit的编写语言）编译器。PS:大家常用的就是这个

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(1)

MSF5

2.Metasploit Pro

在2010年10月，Rapid7添加了Metasploit Pro，这是面向渗透测试人员的开放式商业Metasploit版本。Metasploit Pro在Metasploit Express上添加了以下功能：快速启动向导/元模块，构建和管理社交工程活动，Web应用程序测试，高级Pro控制台，用于防病毒规避的动态有效载荷，与Nexpose集成以进行临时漏洞扫描，和VPN穿透。PS：付费版，比较贵

3.Armitage

Armitage是用于Metasploit项目的图形化网络攻击管理工具，可以可视化目标并提出建议。它是一个免费的开源网络安全工具，以其对红队协作的贡献而著称，允许通过单个Metasploit实例共享会话，数据和通信。PS：MSF的免费图形版本

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(2)

图片来自网络

4.Cobalt Strike

Cobalt Strike是Strategic Cyber LLC提供的与Metasploit框架一起使用的威胁仿真工具的集合。Cobalt Strike包含Armitage的所有功能，并且除了报告生成功能外，还添加了开发后工具。PS：MSF的付费图形版本（仍然比较贵）

Metasploit目前拥有超过1894个漏洞，这些漏洞在以下平台下都存在：AIX，Android，BSD，BSDi，Cisco，Firefox，FreeBSD，HPUX，Irix，Java，JavaScript，Linux，Mainframe computer，multi（适用于多个平台），NetBSD，NetWare，nodejs，OpenBSD，OSX，PHP，Python，R，Ruby，Solaris，Unix和Windows。

Cobalt Strike使用简介

首先将压缩包下载，解压后可以看到

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(3)

文件路径介绍

│ agscript [拓展应用的脚本] │ c2lint [检查c2配置文件的语法和预览] | peclone 用来解析dll │ cobaltstrike.bat-副本【Windows客户端程序(用来启动cobaltstrike.jar) 英文原版】 | cobaltstrike.bat 【Windows客户端程序，汉化启动，双击即可】 │ cobaltstrike.jar 【主体程序】 | cobaltStrikeCN.jar 【汉化程序】 │ icon.jpg │ license.pdf 【删了】 │ readme.txt 【删了】 │ releasenotes.txt 【删了】 │ teamserver 【Linux服务端启动程序(linux shell脚本)】 | teamserver.bat 【Windows服务端启动程序(windows bat批处理)】 │ update 【删了】 │ update.jar 【删了】 |─third-party 第三方工具【vnc远程功能dll(如果没有就不能使用当初我就放错了导致无法使用还好有人提醒我及时更换了)】 | README.vncdll.txt | winvnc.x64.dll 【vnc服务端dllx64位】 | winvnc.x86.dll 【vnc服务端dllx86位】 |—Scripts 一些脚本文件

在win中如何启动？

首先，想要启动这个工具，请打开管理员CMD窗口，或者写一个脚本，在这里我使用管理员CMD

teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD] <host> 主机ip地址，不可以是127.0.0.1，设置成公网或者内网ip即可，若开启则此IP为团队协助ip <password> 设置一个你自己设置的密码 [/path/to/c2.profile] 此项默认可以不输入 [YYYY-MM-DD]非必选项，设置服务器关闭的日期

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(4)

如果出现以下信息则代表服务器启动成功，不用关闭此窗口

然后点击cobaltstrike.bat，输入ip地址和密码端口即可登录，用户名随意PS：服务器默认开放端口为50050

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(5)

输入主机ip，连接端口(默认50050)，以及你想使用的用户名和服务端密码就可以连接到服务器了。

首次连接的服务器会显示服务端的SSL 证书的SHA256哈希值请确认它是否和你的服务端SSL证书的SHA256哈希值一样以防止中间人攻击

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(6)

主界面截图

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(7)

如何使用Cobalt Strike，生成远控

1.windows/beacon_dns/reverse_dns_txt2.windows/beacon_dns/reverse_http3.windows/beacon_http/reverse_http4.windows/beacon_https/reverse_https5.windows/beacon_smb/bind_pipe6.windows/beacon_tcp/bind_tcp7.windows/foreign/reverse_http8.windows/foreign/reverse_https9.windows/foreign/reverse_tcpbeacon为cs内置监听器,也就是说,当我们在目标系统成功执行payload以后,会弹回一个beacon的shell给csforeign主要是提供给外部使用的一些监听器,比如你想利用cs派生一个meterpreter或者armitage的shell回来,来继续后面的内网渗透,这时就选择使用外部监听器

虚拟机测试

将生成的木马放入虚拟机中进行测试，点击运行便会接收到shell

cobalt strike 上线分析（CobaltStrike是什么简单入门教学）(8)