Cobalt Strike

# Cobalt Strike

msf  撕口  exp、payload

猕猴桃

CS主要是用操控内网设备，对内网发动攻击

分体式、可团队协作的工具

msf => 设置监听  => 生成后门，然后再目标服务器上运行

msf这个东西，必须得一直运行msfconsole终端

CS 通过sever端进行监听 => 这样就可以同时接收多个后门。

cs 通过Client客户端接入 => 完成后续操作

支持多个客户端同时接入。

# 搭建服务端

1. 运行 cobaltstrike 服务器

   ```
teamserver.bat ip password

./teamserver 59.63.166.70 rubik@123
```

2. 运行客户端：

   ```
start.bat
输入 ： ip
端口 ：默认端口 50050
用户名
密码 ：password
```

日常工作中：

​    分组进行的    

信息收集、 撕口子、内网渗透

web这一块的方向   代码审计 web网站攻击中的一些技巧

内网方向  流量代理  免杀 权限维持 内网横向

云安全  

# 使用cobalt strike

1.  创建监听器

   msf 选择payload：windows、linux

   payloadoptions：

   ```
http host  后门反向连接时指向的IP  => msf中的lhost
http host(stage)  后门下载shellcode等时使用到的IP
http port(C2)  后门反向连接的端口 =>  msf中的lport
```

2. 生成后门

   和msf的生成有一些类似     msfvenom -p lhost lport -f py =>  shellcode.py

   攻击 => 选择对应类型 => 选择对应监听器 => 生成后门

   将后门进行运行，得到一个shell

3. 心跳包

​        msf => 必须得马上脸上我们msf监听器

​        通过一个定时循环，每隔1分钟尝试连接cs服务器

没执行以一条指令时，需要通过心跳包来进行响应.

远程桌面: rdp协议

​        vnc  图形化操作远程服务器

reg

渗透尽头是社工  社工 => 钓鱼

python脚本写的一个exe

   ->  正常简历

​    -> 后门

​    通标使用 word 文档的图标

比宏病毒更高级了

重启主机之后将失去对目标的控制。原因：
系统会更新掉所有的内存和进程。

设置一些钩子，当目标重启系统之后，仍然能够调起我们的服务。

与windows的自动更新设置有一些类似。
非常的绝：
1. 默认的设置   ===>  正常运行之后
2. 注册表        ===>  等待其他的钩子，重新将我们的后门给调用起来
3. 服务
4. 任务计划

关闭windows10的自动更新

window默认会运行非常多的服务和任务计划

实现后门自启动：
1. 任务计划程序
定时程序 
小技巧：
1. 修改名字
2. 修改已经存在的计划任务
2. 服务方式
简单理解：后台运行、不需要交互
web服务 phpstudy的服务模式
图形界面管理服务： 启动、停止
服务最重要的特性：
开机自启动
并且会以最高权限运行

将进程、或者exe文件制作成服务
通过 WinSW-x64.exe 将后门制作成服务

3. 通过插件来完成这些操作


4. 注册表：
有几个特殊的注册表位置：会实现开机自启