​Cobaltstrike安装连接​

CobaltStrike分为客户端和服务端，可分布式操作、协同作战。服务器只能运行在Linux系统上，可搭建在VPS服务器上。

服务端：

服务端的关键文件为teamview以及cobaltstrike.jar，将这个两个文件放到服务器上同一个目录，然后运行：

kali服务端启动./teamview kaliIP 连接密码

Windows（客户端）直接打开cobaltstrike.exe程序

双击进入exe程序后，出现下图页面

Host：填写kaliIP(cobaltstrike服务端IP)

Port：50050（默认连接端口，若修改端口则填写修改后的端口信息）

User：随便填一个用户

Password：kali启动cobaltstrike时输入的密码

填写完毕后，点击Connect进行连接，连接成功页面如下图所示：

​默认端口&SSL修改​

cobaltstrike的默认端口为50050，可修改默认端口

在kali中，进入cobaltstrike目录，查看teamserver，可看到默认端口为：50050，具体情况如下所示：

将上图默认端口修改为20010

Cobaltstrike服务端和客户端是通过SSL加密通信的，由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被防火墙识别。

除cobaltstrike的默认端口外，cobaltstrike默认的SSL证书信息也很重要，SSL指纹信息也很明显

可将SSL信息改为其他保持CN=XXX，OU=XXX，O=XX，L=XX，S=XX，C=XX即可

Cobaltstrike模块

cobaltstrike模块的功能选项，如下所示：

New Connection：打开一个新的“Connect”窗口，在当前窗口中新建一个连接，即可同时连接不同的团队服务器（便于团队之间的协作）。

Preferences：偏好设置，首选项，用于Cobaltstrike主界面、控制台、Teamserver连接记录、报告的样式。

Visualization：将主机以不同的权限展示出来（主要以输出结果的形式展现出来）。

VPN Interfaces：设置VPN接口。

Listeners：创建监听器。

Script Manager：查看和加载脚本。

Close：关闭当前与Teamserver的连接。

View模块

Applications：显示被控机器的应用信息。

Credentials：通过HashDump或mimikatz获取的密码或者散列值都储存在这里。

Downloads：从被控机器中下载的文件。

Event log：主机上线记录，以及与团队协作相关的聊天记录和操作记录。

Keystrokes：键盘记录。

Proxy Pivots：代理模块。

Screenshots：屏幕截图模块。

Script Console：控制台，在这里可以加载各种脚本。

Targets：显示目标。

Web log：web访问日志。

Attacks模块

Packages：

依次单击“Attacks”—>“Packages”选项，可看出一系列功能模块，如下图所示：

HTML Application：基于HTML应用的payload模块，通过HTML调用其他语言的应用组件进行攻击测试，提供了可执行文件、Powershell、VBA三种方法。

MS Office Macro：生成基于Office病毒的payload模块。

Payload Generator

Windows Executable

Windows Executable(S)

Web Drive-by：

Spear Phish：