渗透神器CS3.14搭建使用及流量分析

Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马，生成Windows dll(动态链接库)木马，生成java木马，生成office宏病毒，生成木马捆绑钓鱼攻击，包括站点克隆目标信息获取java执行浏览器自动攻击等等。

我用的破解版，正版花美刀

一.安装

条件：java环境（jdk8或11版本），一台靶机（最好是win系统），（一台虚拟机作为服务端）

两种方式：

1. 服务端和客户端都在主机

Cmd命令teamserver_win.bat  

服务端ip  123456（密码）

启动cobaltstrike.exe,登录即可

2.服务端在Linux上（我用的是kali），客户端在主机上

将文件拖进kali 在文件下执行

 ./teamserver  ip  123456 

（需要附加执行权限）

Windows底下启动客户端即可

二．使用：

①创建监听器

或者点击耳机图标

点击Add按钮添加监听器

CS内置了多种类型的监听器，beacon类型的监听器表示让CS服务程序监听一个端口，foreign类型的监听器表示外部程序监听的端口，例如MSF监听的端口。

这里我选择

windows/beacon_http/reverse_http。

②生成exe木马

点击Attacks按钮生成Windows平台的exe木马。

③投递木马并运行

将木马文件放入靶机中，等待上线

windows作为靶机被攻击的一方运行了黑客提供的 artifact.exe文件，客户端提示被攻击者上线。

④交互

靶机上线进行远控，要注意CS服务器默认60s回连一次，因此指令会有延迟，所以修改一下sleep时间，比如改为1s

右键-session-sleep   改为1

打开交互界面，最下方有个beacon输入框，这就是用来输入命令的地方，命令具体百度，随便搞。

三、基于tcp、dns、ssl协议的木马流量分析

Tcp：

http传输

监听器：

windows/beacin_http/reverse_http. 

端口：6666

生成木马文件：Attacks-随意选择木马类型，生成并发送到靶机执行，打开wireshark抓包

木马上线

通过抓取的上线数据包可以看出木马上线后会向控制端提交一个GET /JRLU 请求。

执行远程目录查看操作，查看流

控制端发出目录查看请求后主机首先向控制端GET /visit.js文件后再通过POST /submit.php?id=42612把主机文件目录信息发送给控制端。整个过程都走HTTP协议，全都采用明文传输。

https传输同上

监听器：

windows/beacin_https/reverse_https. 

端口：9999

生成木马，上传到靶机，执行并wireshark抓包

木马上线

通过HTTPS加密后传输的数据,看不出明显异常。

DNS：

注！一定要配好DNS服务器，不然抓不到

使用DNS隧道传输

设置监听器设置好监听端口5555，并生成可执行文件EXE木马样本。

在靶机运行木马文件，同时打开wireshark抓包，从流量中可发现主机产生大量DNS请求，直至在控制端上线后才停止DNS请求。在wireshark查看他的流

等待客户端靶机上线，进行交互，打开beacon，输入mode dns-txt ，设置数据传输模式为dns-txt，在wireshark观察流的变化

执行一条shell命令，抓到的数据包可以看出，命令和返回的信息也都已经被加密通过dns协议传输。

SSl：

修改默认证书

Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的，由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别所

以最好修改一下

keytool工具介绍

Keytool是一个Java数据证书的管理工具,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中,即.store后缀文件中。

1.查看证书

keytool -list -v -keystore cobaltstrike.store

需要输入密码

2.创建证书命令

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

-alias 指定别名

-storepass pass 和 -keypass pass 指定密钥

-keyalg 指定算法

-dname 指定所有者信息

3.创建服务端证书文件

keytool -keystore ./cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

4.cobaltstrike.jar文件中的证书创建

ssl.store

keytool -keystore ./ssl.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

proxy.store

keytool -keystore ./proxy.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

创建完新的证书，先打开wireshark抓包，登录客户端

查看数据包

追踪流，发现刚才创建的证书

总之这款后渗透工具非常强大，感兴趣的可以深入研究一下。

链接：

https://pan.baidu.com/s/1IDsTV_RI2U0iiUCbGZmtwg

提取码：g1h1