记一次Cobalt Strike的上线学习 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

记一次Cobalt Strike的上线学习

2024-06-14 16:27:07

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

前言

萌新第一次使用Cobalt Strike，cs作为攻击windows进行后渗透强有力的工具也是被业界经常玩梗，那比博燃的图标也是很形象。小编拿到VPS的第一天就开搞了，让我们学习一番，成为在内网游龙的人。

前期环境配置

环境：

靶机：外网ip

服务器：外网ip（自己的vps-ip）

客户端：本地物理机

CS属于java环境，首先安装java的环境语言。

一、服务器端启动

1.将下载好的CS解压到本地，我这里使用的CS的中文修改版，可以帮助更好的明确使用的功能模块。

1718270672_666abad003047d6120bc0.png!small?1718270671231

2.明确CS中所需要一些重要文件和目录

●teamserver：该文件为服务器端所需运行文件。

●Scripts目录：存放相应脚本文件历史漏洞利用文件

●agscript：拓展应用的脚本。
●c2lint：用于检查profile 的错误和异常。
●cobaltstrike.bat 和 cobaltstrike.jar:客户端程序。因为teamserver文件是通过Java来调用CobaltStrike 的，所以直接在命令行环境中输入第一个文件的内容也能启动Cobalt Strike 客户端 (主要是为了方便操作)。
●logs:日志，包括 Web日志、Beacon日志、截图日志、下载日志、键盘记录日志等。
●datas：用于保存当前TeamServer的一些数据。

1718271985_666abff1d2412818af150.png!small?1718271985167

3.将CS压缩包上传至VPS的某目录下，这里为了方便直接unzip进行解压了。

1718272121_666ac079ca411d2369197.png!small?1718272121157

4.这里可先进行服务器的连接，在VPS下运行teamserver。可先进行chmod 777 teamserver进行附权限，之后使用命令：sh teamserver VPSip passwd进行回车运行。运行成功后会显示在默认50050端口进行监听并返回Listener字段。至此服务器端已完成任务。

●ps：想要后台运行可接nohup sh teamserver VPSip passwd &进后台运行。连接端口可在teamserver的server_port处进行修改。

1718272594_666ac25205a1a04e45e1e.png!small?1718272593253

二、客户端连接

1.前往客户端的cs目录下存在start.bat，我这里修改为cs.bat文件进行点击（也可以制作成快捷放桌面放博人图标这样更燃了），启动后会进入CS的客户端UI界面。可以看到UI界面的输入处，●这里主机填写自己的VPSip，端口填写设置的这里默认50050，密码输入vps启动时的passwd。用户名处随意填。

1718272906_666ac38a556a17b73a30d.png!small?1718272905935

2.填写完成后点击连接即可进入客户端的比博燃的CS界面。这时候需要点击耳机一样的图标，或者在cs的菜单栏中点击监听器。手动创建一个监听器，监听器的端口需要设置（这里端口为8082），以便后渗透。

●这里有几个重要的地方填写，名字处可以随意创建。http hosts填写自己的vpsip，http host stager也选择自己的vpsip，端口为之后反弹shell需要监听的端口，之后点击save保存即可创建完成。

1718274095_666ac82f7564eade4f4c3.png!small?1718274094751

渗透过程

一、靶场打入与上线

1.靶场使用的是带域名的外网靶场，经过phpmyadmin弱口令+SQL查询日志注入的方式拿到shell。这里使用哥斯拉进行连接，测试连通性，发现可以出网。乐了~

1718335140_666bb6a421ad5ce137094.png!small?1718335138162

2.接下来我们简单使用CS制作一个木马病毒。在攻击处选择生成后门中的windows exectutable，这里我们的靶机为windows8的系统，选择X64的马子，选择监听器为我们刚刚创建的监听器文件类型为exe，生成并保存在本地某路径下。

1718336952_666bbdb85275e6b680212.png!small?1718336950347

1718336974_666bbdce2cb7d5ed21301.png!small?1718336972219

3.将生成后的木马文件找到，并通过哥斯拉进行上传到目标靶机的某目录下，这里可再进行隐藏设置或上传至temp目录等。

1718345534_666bdf3ee1756dd4aafd8.png!small?1718345532780

4.让我们切换至靶机上，找到木马文件所在的目录上再进行运行，切换到cs点击瞄准镜的小图标发现多了一台红色闪电标的资产，该资产就是上线的靶机，红色闪电代表处于已连接控制。

1718345836_666be06c7f3c41622e1e3.png!small?1718345834466

5.在cs的快捷栏中对已上线的目标可在目标列表栏中进行控制，点击像目录的图标有控制机的大致信息，右击可进入cmd的控制页面即为进入beacon的选项。点击后需使用shell+cmd命令的形式在cs中运行。

如图可发现成功shell ipconfig执行了ipconfig的信息。

1718346000_666be11004ce720296a77.png!small?1718345997854

二、后续探索

1. 后续可通过已知的信息或输入systeminfo进行较全面的了解靶机的操作系统信息。由于使用的是windows8r的操作系统，这里小编这里开搜了一波，发现有MS15-051(CVE-2015-1701)漏洞可利用。（该漏洞基于Win32k.sys内核模式驱动程序没有正确处理内存对象，在实现上存在权限提升。）我们下载后故技重施上传至目标靶机上，尝试跟上以该程序进行运行cmd命令。

●ps：想要便捷一点可上msf自带的ms15-051模块，运行后应可以直接是管理员权限，就不需要每次跟上该漏洞程序运行cmd指令。

1718346131_666be1931c4015c8f44ca.png!small?1718346129055

2.啪啪啪一顿，反正就说shell ms15 "cmd命令"进行即可，最终也是创建了隐藏admin用户和开启目标靶机的3389端口，之后只需要reg或者frp把流量代理出来继续搞就完了，目标机也是可再拿域控以及横向多台。

1718346351_666be26fc2ae2dfb1b445.png!small?1718346350236

总结

从打入到上线CS，中间的过程也是无比的艰辛。小编学习后个人认为比较重要的即是需要一台VPS来中转，在提权后也可进行CS自带的mimikatz进行域控的渗透，功能还是比较强大的都有一键日穿。一键提权的自带虽不是很多但使用时也每提权上，还是去搜了下历史漏洞进行利用。

总之学习的路还很长，CS想用的在内网游龙还得配合流量代理和进一步的探索。这次的CS学习算是基本用上了相应的功能，希望能帮助各位和记录自己的学习过程能忘记时看看。

# 渗透测试 # 网络安全 # web安全

已在FreeBuf发表 0 篇文章

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多