Cobalt Strike基础使用

2025-08-04 09:16:16 RAIZ

文章作者：华盟安全团队-- Gaowu

Cobalt Strike分为客户端组件和服务器组件，服务器的组件也是团队服务器，可以放在局域网或者公网下进行团队使用，也是Cobalt Strike社会工程功能的托管机器，团队服务器还可以存储由Cobalt Strike收集的数据，并且进行日志管理。

Cobalt Strike服务器必须在Linux系统上运行，这里演示服务器在Linux KALI端，本地进行Cobalt Strike客户端的连接。

CobaltStrike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，windows exe 木马生成，windows dll 木马生成，java 木马生成，office 宏病毒生成，木马捆绑。钓鱼攻击包。

CS使用

启动CS服务端

启动客户端

服务端启动后客户端启动进行连接（团队多人连接将用户名设置为自己的用来区分团队成员）

主界面

CS功能使用（主机上线）

1.设置监听器用来接收会话

name：监听器名字

payload：payload类型

Host: shell反弹的主机，kali IP

Port: 反弹端口

这里Payload有9种选项，如下：

内部的Listener

windows/beacon_dns/reverse_dns_txt

windows/beacon_dns/reverse_http

windows/beacon_http/reverse_http

windows/beacon_https/reverse_https

windows/beacon_smb/bind_pipe

外部的Listener

windows/foreign/reverse_dns_txt

windows/foreign/reverse_http

windows/foreign/reverse_https

windows/foreign/reverse_tcp

Beacon为内置的监听器，在目标主机执行相应的payload，获取shell到cs上;其中包含DNS、HTTP、HTTPS等，Beacon可以选择通过DNS还是HTTP/S协议出口网络，甚至可以在使用Beacon通讯过程中切换HTTP和DNS。其支持多主机连接，部署好Beacon后提交一个要连回的域名或主机的列表，Beacon将通过这些主机轮询。目标网络的防护团队必须拦截所有的列表中的主机才可中断和其网络的通讯。通过种种方式获取shell以后（比如直接运行生成的exe），就可以使用Beacon了。

Foreign为外部结合的Listener，经常用于MSF的结合，例如获取meterpreter到MSF上。

2.生成木马

HTML Application 生成恶意的HTA木马文件；
MS Office Macro 生成office宏病毒文件；
Payload Generator 生成各种语言版本的payload;
Windows Executable 生成可执行exe木马；
Windows Executable(S) 生成无状态的可执行exe木马