Основные команды Cobalt Strike

1. команда помощи

В Cobalt Strike команда справки не имеет графических операций, а только операции командной строки.

В Cobalt Strike при вводе команды «help» отображаются команды маяка и соответствующие пояснения по использованию. При вводе команды «help» отображается справочная информация для этой команды, как показано на рисунке.

команда помощи

2. команда сна

Щелкните правой кнопкой мыши и выберите параметр «Сеанс» «Сон» во всплывающем контекстном меню или выполните следующую команду в среде командной строки Beacon, чтобы вызвать команду сна.

sleep [time in seconds]

По умолчанию время переподключения Cobalt Strike составляет 60 секунд. Чтобы Beacon мог быстро реагировать на операции тестера на проникновение, вы можете выбрать сеанс, щелкнуть правой кнопкой мыши и выбрать опцию «Взаимодействовать» во всплывающем контекстном меню для взаимодействия с контролируемым концом. Выполните команду «sleep 1», чтобы изменить время пульса на 1 секунду, как показано на рисунке. Вы также можете изменить время повторного подключения в графическом интерфейсе Cobalt Strike.

команда сна

Общие команды управления маяком

1. Используйте команду getuid, чтобы получить текущие права пользователя.

Командная строка маяка: getuid.

Команда getuid используется для получения информации о том, под каким пользователем работает текущий маяк, есть ли у него права администратора и т. д., как показано на рисунке.

команда getuid

2. Используйте команду getsystem для получения системных разрешений.

Командная строка маяка: getsystem.

Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим, а затем введите команду «getsystem», чтобы попытаться получить системные разрешения, как показано на рисунке.

команда getsystem

Системное разрешение — второе по величине разрешение в операционной системе Windows. Даже при наличии системных разрешений системные файлы невозможно изменить. Разрешения TrustedInstaller — это самые высокие разрешения в операционной системе Windows.

3． Используйте команду getprivs, чтобы получить все разрешения текущего маяка.

Командная строка маяка: getprivs.

Команда getprivs используется для получения всех разрешений, содержащихся в текущем маяке, аналогично выполнению команды «whoami /priv» в среде командной строки. Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим и введите команду «getprivs», как показано на рисунке.

команда getprivs

4. Используйте модуль Browser Pivot, чтобы перехватить указанный браузер Beacon.

Графическое управление: щелкните правой кнопкой мыши и во всплывающем контекстном меню выберите опцию «Исследовать» «Поворот браузера».

Командная строка маяка: Команда следующая.

browserpivot [pid] [x86|x64]
browserpivot [stop]

Модуль Browser Pivot используется для взлома целевого браузера IE и открытия прокси-сервера на целевом хосте. Локальный браузер перехватывает целевой файл cookie через прокси-сервер, чтобы обеспечить отсутствие входа в систему (при доступе к URL-адресу, который посещает целевой браузер IE, используется файл cookie целевого браузера IE).

5. Соединение VNC с использованием рабочего стола (VNC)

Графическое управление: щелкните правой кнопкой мыши и выберите опцию «Исследовать» «Рабочий стол (VNC)» во всплывающем контекстном меню.

Командная строка маяка: рабочий стол [высокий|низкий].

Внедрите VNC-сервер в целевую машину и контролируйте качество связи с помощью параметров. Следует отметить, что при запуске этого модуля не используйте системные разрешения или разрешения на обслуживание (использование этих разрешений для запуска этого модуля может не позволить вам подключиться к экрану пользователя. Вам следует попытаться использовать этот модуль с назначенными разрешениями пользователя). Интерфейс после нормального запуска этого модуля, как показано на рисунке, по умолчанию находится в режиме только для чтения и может просматривать только рабочий стол пользователя. Нажмите второй значок в нижней части интерфейса, чтобы войти в режим работы.

Интерфейс получен с помощью VNC

6. Модуль управления файлами

Графическое управление: щелкните правой кнопкой мыши и во всплывающем контекстном меню выберите пункт «Обзор» «Обозреватель файлов».

Командная строка маяка: cd, переключение папок; ls, список каталогов; загрузка, загрузка файлов; mv, перемещение файлов; создание папок; удаление файлов или папок.

Модуль управления файлами иногда не может нормально просматривать целевые файлы, поскольку разрешения слишком высоки или слишком низки. Стоит отметить, что такие действия, как переключение каталогов и выполнение файлов, по сути являются командами выполнения маяка, поэтому данные не будут возвращены до следующего такта. Основные операции можно выполнить в графическом интерфейсе.

Результат нормальной работы модуля управления файлами такой, как показано на рисунке.

Как показано на рисунке, выберите исполняемый файл, щелкните правой кнопкой мыши, и во всплывающем контекстном меню вы увидите опцию «Выполнить». Выберите эту опцию для выполнения с параметрами, как показано на рисунке.

Cobalt Strike поддерживает китайский язык, начиная с версии 3.10. Если язык операционной системы, в которой работает cobaltstrike.jar, — английский и пакет китайского языка не установлен, китайский язык не будет отображаться нормально.

Управление файлами

Контекстное меню вызова

Выполнить с параметрами

7. команда чистого просмотра

Графическое управление: щелкните правой кнопкой мыши и выберите опцию «Исследовать» «Просмотр сети» во всплывающем контекстном меню.

Командная строка маяка: net view <DOMAIN>。

Выполнение команды net view отобразит список доменов, компьютеров и ресурсов, общих для указанного компьютера. Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим и введите команду «net view», как показано на рисунке.

net: находит цель, запрашивая список учетных записей компьютеров на контроллере домена.

net dclist: список контроллеров домена.

net domain_trusts: список доверенных доменов.

net группа: перечислите группы на контроллере домена, где вы находитесь. "сеть group Команда \\target» используется для указания контроллера домена. «net group \\target <GROUPNAME>”Команда используется для указания имени группы,Чтобы получить список пользователей указанной группы на контроллере домена.

net localgroup: перечисляет локальные группы в текущей системе. "сеть localgroup Команда \\target" используется для указания локальной группы в удаленной системе, подлежащей перечислению. "net localgroup \\target <GROUPNAME>”Команда используется для указания имени группы,чтобы получить список пользователей в локальных группах на целевом компьютере.

net logons: список вошедших в систему пользователей.

сетевые сеансы: список сеансов.

netshare: список общих каталогов и файлов.

net user: список пользователей.

чистое время: время отображения.

команда чистого просмотра

Справочную информацию по вышеуказанным командам можно получить с помощью команды help.

8. Модуль сканирования портов

Графическое управление: щелкните правой кнопкой мыши и выберите опцию «Исследовать» «Сканирование портов» во всплывающем контекстном меню.

Командная строка маяка:portscan [цели] [порты] [arp|icmp|none] [максимальное количество подключений].

Интерфейс сканирования портов, как показано на рисунке.

Интерфейс сканирования портов

существовать Интерфейс сканирования Диапазон сканирования нельзя настроить в портах, но в Beaconcomandная Диапазон сканирования можно настроить в среде строки. Маяк командный строка поддерживает две формы (192.168.1.128-192.168.2.240; 192.168.1.0/24), а диапазон настраиваемых портов разделяется запятыми.

Интерфейс внешних портов поддерживает два метода сканирования. Если вы выберете опцию «arp»,Просто используйте протокол ARP, чтобы определить, жива ли цель, если вы выберете опцию «icmp»;,Просто используйте протокол ICMP, чтобы определить, жива ли цель. Если вы выберете вариант «нет»,Указывает, что цель по умолчанию жива.

Поскольку командаportscan использует асинхронный метод сканирования, вы можете использовать параметр Max Sockets, чтобы ограничить количество подключений.

9． модуль списка процессов

Графическое управление: щелкните правой кнопкой мыши и выберите опцию «Исследовать» «Список процессов» во всплывающем контекстном меню.

Командная строка маяка: ps, просмотрите процесс kill, завершите процесс;

Список процессов широко известен как диспетчер задач и может отображать идентификатор процесса, родительский идентификатор процесса, имя процесса, архитектуру платформы, сеанс и идентификатор пользователя. Когда Beacon работает с низкими привилегиями, идентификатор пользователя некоторых процессов не будет отображаться, как показано на рисунке.

Запустите Beacon с низкими привилегиями

Как показано на рисунке, Beacon запускается с правами системы. Вы можете выбрать целевой процесс и нажать кнопку «Убить», чтобы завершить процесс. Вы также можете завершить процесс, напрямую используя форму команды «kill [pid]» в среде командной строки Beacon.

Процесс с высокими привилегиями

Модуль списка процессов также поддерживает кейлоггеры, внедрение процессов, снимки экрана, подделку токенов и другие операции.

10． команда скриншота

Графическое управление: щелкните правой кнопкой мыши и выберите опцию «Исследовать» «Снимок экрана» во всплывающем контекстном меню.

Командная строка маяка: скриншот [pid] <x86|x64> [run time in seconds]。

Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим и выполните команду «снимок экрана», чтобы получить снимок рабочего стола текущего пользователя целевого хоста в данный момент, как показано на рисунке. Вы можете выбрать опцию «Просмотр» «Скриншоты», чтобы просмотреть скриншоты.

команда скриншота

команда скриншота Также поддерживает Скриншоты по расписанию, как показано на картинке. Например, команда «скриншот 2032 10" означает команду скриншотаинъекцияPIDдля2032изпроцесскосмос,Скриншот каждые 10 секунд,Отправьте снимок экрана обратно на сервер группы.

Скриншоты по расписанию

Вам следует попытаться использовать назначенные права пользователя для выполнения вышеуказанных операций. Вышеуказанные операции невозможно выполнить с использованием служебной учетной записи или системных разрешений.

11. Модуль журнала нажатий клавиш

Графическое управление: выберите опцию «Список процессов», «Журнал нажатий клавиш».

Командная строка маяка: кейлоггер [pid] <x86|x64>。

Модуль журнала нажатий клавиш используется для внедрения нажатий клавиш в процесс. Когда целевой хост использует клавиатуру для ввода, ввод перехватывается и передается обратно на сервер группы, как показано на рисунке.

Целевой хост использует ввод с клавиатуры

Вы можете выбрать «Просмотр» «Журнал». KeyStrokes» для просмотра записей ввода с клавиатуры, как показано на рисунке 9-90. В Cobalt Выберите маяк в главном интерфейсе Strike, войдите в интерактивный режим и введите «keylogger». [pid] <x86|x64>”Заказ,Также просмотрите истории нажатий клавиш。

Просмотр истории нажатий клавиш

Вам следует попробовать использовать права обычного пользователя для выполнения вышеуказанных операций. Вышеуказанные операции невозможно выполнить с использованием служебной учетной записи или системных разрешений.

12． ввести команду

Графическое управление: выберите последовательно опции «Список процессов» и «Вставка».

Командная строка маяка: внедрить [pid] <x86|x64> [listener]。

Внедрение полезной нагрузки в целевой процесс может отразить маяк. Выберите процесс, нажмите кнопку «Внедрить», и появится всплывающий интерфейс выбора прослушивателя. Выбор прослушивателя вернет сеанс маяка для PID целевого процесса. PID системного процесса и PID Beacon одинаковы, а исключение невозможно найти только через список процессов, как показано на рисунке.

PID системного процесса

PID процесса маяка

13. Модуль кражи токена

Графическое управление: выберите последовательно параметры «Список процессов» и «Украсть токен».

Командная строка маяка: Steal_token [pid].

Модуль Steal Token может имитировать токен процесса, запущенного от имени указанного пользователя. Если во время тестирования на проникновение в домен процесс, запущенный от имени администратора домена, обнаружен на контроллере, не являющемся контроллером домена, вы можете использовать модуль Steal Token для получения привилегий администратора домена или перейти с прав администратора на системные привилегии. Токен можно восстановить с помощью команды rev2self.

Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим и введите команду «steal_token [pid]», чтобы получить токен указанного процесса, как показано на рисунке.

Получить токен указанного процесса

14． Примечание модуль

Графическое управление: щелкните правой кнопкой мыши и во всплывающем контекстном меню выберите пункт «Сессии» «Примечание».

Командная строка маяка: примечание [текст].

Используйте модуль «Примечание», чтобы установить отметки для целей, как показано на рисунке. Как только вы нажмете кнопку «ОК», тег появится в списке сеансов, как показано на рисунке.

Установить тег для указанного маяка

Показать отметку

Модуль «Примечание» можно использовать для различения машин разной важности.

15． команда выхода

Графическое управление: щелкните правой кнопкой мыши и во всплывающем контекстном меню выберите пункт «Сессии» «Выход».

Командная строка маяка: выход.

Команда выхода используется для выхода из текущего сеанса Beacon, что эквивалентно отказу от разрешений этого сеанса. Обычно команда выхода используется с модулем Remove для очистки ненужных сеансов.

16． Удалить модуль

Графическое управление: щелкните правой кнопкой мыши и во всплывающем контекстном меню выберите пункт «Сессии» «Удалить».

Если маяк не подключается обратно в течение длительного времени или ему не требуется использовать сеанс, выберите указанный сеанс, чтобы удалить его из списка сеансов.

17. команда оболочки

Командная строка маяка: оболочка [команда] [аргументы].

Выберите маяк в главном интерфейсе Cobalt Strike, войдите в интерактивный режим и введите соответствующую команду оболочки для вызова cmd.exe в целевой системе, как показано на рисунке.

команда оболочки

18． запустить команду

Командная строка маяка: запустите [программу] [аргументы].

Команда запуска не вызывает cmd.exe, а напрямую вызывает «найденную программу». Например, «run cmd ipconfig» по сути то же самое, что «shell ipconfig», но использование «run ipconfig» эквивалентно прямому вызову ipconfig.exe в системной папке system32, как показано на рисунке.

запустить команду

19. выполнить команду

Командная строка маяка: выполнить [программу] [аргументы].

Команда выполнения обычно выполняется в фоновом режиме и не имеет эха.

20． модуль PowerShell

Командная строка маяка: powershell [командлет] [аргументы].

Модуль powershell выполняет команды, вызывая powershell.exe.

двадцать один. модуль PowerPick

Командная строка маяка: powerpick [команда] [аргументы].

Модуль powerpick может выполнять команды без вызова powershell.exe.

двадцать два. модуль импорта powershell

Командная строка маяка: powershell-import [/path/to/local/script.ps1].

Модуль powershell-import может напрямую загрузить локальный сценарий PowerShell в память целевой системы, а затем использовать PowerShell для выполнения метода в загруженном сценарии. Команда выглядит следующим образом, как показано на рисунке.

powershell-import /root/Desktop/powerview.ps1
powershell Get-HostIP

модуль импорта powershell