想写这篇文章已经有一段时间了,接触Cobalt Strike的时间并不是很长,一个同伙曾开顽笑的说道Cobalt Strike“是灰鸽子的旗舰版”,CS已经成为我们在做后渗透、权限维持以及内网渗透中,少不了的利器，FreeBuf已有先辈发过几篇很棒的文章，让我们从文章中收获不少的知识点,先容就不再多说了。 第一次发, 文章难免有错误的地方请大佬们多多指点。

　　我使用的是Cobalt Strike3.6信赖有不少玩Cobalt Strike安装完成后都市遇到过的两个问题

　　服务器端毗邻：http:///hkjs/teamserver ip 密码

　　

　　一个是teamserver剧本的问题，这里要到teamserver剧本中删除一些字符串否则启动会报错,（多谢大佬提醒）,把-XX:AggressivHeap -XX:UseParallelGc删除。

　　

　　在服务器中CS已经启动乐成了,客户端毗邻提醒超时,之前设置的监听端口忽略。

　　

　　这时我们还需要关闭服务器Linux防火墙否则客户端毗邻不上的。 Linux执行: service iptables stop

　　是默认端口,可以在浏览器中检测到是否能接见

　　

　　在客户端输入对应的信息就毗邻上了CS，”User”是可以自己随便填写用户的。

　　登入乐成后的界面：

　　

　　然后在建立一个监听 “从Cobalt Strike菜单栏”-gt;Listeners

　　

　　填写以下信息即可：Payload中的windows/beacon_http/reverse_http:有效载荷

　　

　　单击保留。默认会使用服务器的IP地址或者填入任何剖析的域名：

　　

　　点击确定之后就会最先监听端口

　　

　　还需要在设置下Powershell Scripted web_Delivery类似于msf的web_delivery

　　

　　填写所需参数默认端口是80,这里我用端口,Type这块一样平常都用powershell，根据需要可以自己选择。

　　

　　

　　建立乐成会弹出以下一个窗口内里包罗powershell远程下载执行下令

　　

　　顺便也看看web_Delivery天生的powershell的木马,通过powershell来执行某些指令通过Base64方式举行加密

　　

　　依次点击Attacks -gt;Web Drive-by-gt;Manage对之前建立的web服务举行治理

　　复制URL

　　

　　在目的机械上执行

　　

　　这时已经能控制目的主机了

　　

　　当目的机械重启电脑后Cobalt Strike就会失去对目的主机的控制权限,这时我们该若何持久的控制对方主机。

　　

　　在我刚接触msf这块的时刻印象最深刻的就是windows xp系统使用metasploit留的MetSVC和Persistence这两个持久性后门控制,那么使用Cobalt Strike若何持久控制目的主机权限的呢。

　　设置powershell剧本开机自启动后门。

　　使用SC下令建立windows服务名最好伪装下,binpath=这里一定要注意有个空格否则建立不乐成把powershell远程执行下载下令也包罗进去地址：”http://..1.82:/a“链接就是我们刚刚天生的木马地址

　　

　　这时目的就会有个刚建立个为”name”的服务,可执行文件的路径都在刚刚下令执行过程中指定到的内里

　　

　　SC config “name” start=auto 我们需要把这个name服务设置为自动。

　　

　　Sc description “name” “description” 设置服务的形貌字符串

　　net start “name” 启动服务

　　SC delete “name” 删除这个服务，不想使用服务直接删除

　　反向毗邻这时我们重新拿到一个shell,已服务运行的权限运行可以看到是SYSTEM

　　

　　重启下目的主机试试,现在两个会话已经失去了毗邻。

　　

　　通过powershell留开机自启动服务,当目的主机重启电脑之后,不停向攻击机械发送请求数据包,重新拿到控制权限

　　

　　

　　下面两种方式就对照常见的留自启动后门

　　service

　　天生service的exe程序放到目的机械

　　

　　这里选择windows Service EXE

　　

　　这里我为了利便就直接拖到虚拟机内里了

　　

　　当然在实战过程中点击Explore-gt;File Browser同样的也可以上传文件

　　

　　同样的

　　先建立一个服务名称后面随着木马上传的路径，这里若是要保证”windows Service EXE程序不被杀毒软件阻挡,最好做下免杀,在放到加倍隐藏的目录

　　

　　

　　启动服务之后CS重新拿到一个反向毗邻shell会话

　　

　　重启目的机械,也能拿到控制权限。

　　

　　天生一个exe木马程序

　　

　　设置开机启动项，往注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加木马程序路径

　　

　　

　　当系统注销,再次进入登入到目的系统就会上线,权限是继续的。

　　

　　末端也在唠叨下关于留自启动后门方式许多,大多数都添加到服务,加注册表 加启动项，文章中也只是使用Cobalt Strike自己自带的攻击模块去实现留自启动的操作,若是整体服务器重启了,Cobalt Strike还想再次连上控制目的机械,客户端需要重新设置和之前一样的操作,Listeners以及Scriptad Web Delivery端口等必须设置的和之前一致,这样被控制的机械再次发包请求服务器时才气重新获取控制权限。

　　*本文原创作者：FK_T