코발트 Strike Cheat 시트

All 모든 명령 복사 < PDF 생성

제품정보

Cobalt Strike는 고급 위협 배우를 에뮬레이션하기 위해 설계된 상업 침투 테스트 및 빨간색 팀 운영 플랫폼입니다. 그것은 타협 시스템에 beacons (시약)을 배치 할 수 있도록 연산자를 허용하는 포스트 폭발 프레임 워크를 제공, 명령 및 제어 (C2) 채널을 설정, 다양한 공격 보안 작업을 수행.

· Warning: Cobalt Strike는 해당 환경에서만 사용되어야 하는 상업 보안 테스트 도구입니다.

핵심 부품

팀 서버

• 중앙 명령 및 제어 서버
• Linux에서 실행
• 비콘 및 청취자 관리
• 팀 운영을 위한 협업 제공

회사 소개

• Java 기반 GUI 응용
• Team Server에 연결
• beacons과 상호 작용하는 통신수를 위한 공용영역
• 대상 네트워크를 시각화

스낵 바

• 포스트 폭발을 위한 1 차적인 탑재량
• Team Server와의 통신 설정
• 공격 작업에 대한 다양한 기능을 제공합니다
• 다른 통신 형태에서 작동할 수 있습니다

설정 및 구성

팀 서버 설정

카지노사이트

고객 설정

카지노사이트

관심상품

Listeners 만들기

카지노사이트

Listener 유형

Type	Description
HTTP	Uses HTTP for C2 communication
HTTPS	Uses HTTPS for C2 communication
DNS	Uses DNS queries for stealthy C2
SMB	Uses named pipes for peer-to-peer C2
TCP	Uses direct TCP connections
Foreign	Integrates with other C2 frameworks

Payload 생성

Beacon Payload 유형

카지노사이트

Payload Type	Description
Windows Executable	Standard .exe file
Windows Service EXE	Service executable
DLL	Dynamic Link Library
PowerShell	PowerShell one-liner
Python	Python script
Office Macro	Macro for Office documents
Shellcode	Raw shellcode

Artifact 키트

카지노사이트 - 증발 기술로 사용자 정의 페이로드 생성 - 검출을 피하기 위한 서명을 수정합니다. - 사용자 정의 템플릿

Beacon 명령

세션 관리

Command	Description
help	Display help information
sleep [seconds] [jitter%]	Set sleep time and jitter
checkin	Force immediate check-in
exit	Terminate the beacon session
clear	Clear the beacon's task queue
jobs	List running jobs
jobkill [JID]	Kill a running job
mode dns	Switch to DNS mode
mode dns-txt	Switch to DNS-TXT mode
mode dns6	Switch to DNS6 mode
mode http	Switch to HTTP mode
mode smb	Switch to SMB mode

정보 수집

Command	Description
hostname	Get the hostname
ipconfig	Display network configuration
netstat	Display network connections
ps	List running processes
tasklist	Alternative to ps
getuid	Get current user ID
whoami	Get detailed user information
pwd	Print working directory
drives	List available drives
dir [directory]	List files in directory
ls [directory]	Alternative to dir
net [command]	Execute net command
reg query [path]	Query registry
sysinfo	Get system information

파일 작업

Command	Description
cd [directory]	Change directory
cp [source] [destination]	Copy a file
mkdir [directory]	Create a directory
mv [source] [destination]	Move or rename a file
rm [file]	Delete a file
rmdir [directory]	Delete a directory
cat [file]	Display file contents
download [file]	Download a file from target
upload [file]	Upload a file to target
timestomp [file] [template]	Modify file timestamps
ls-acl [file]	List file permissions

공정 운영

Command	Description
execute [program]	Execute without capturing output
shell [command]	Execute and capture output
run [program]	Execute a program
runas [user] [password] [program]	Execute as another user
pth [user] [domain] [hash]	Pass-the-hash to create a token
steal_token [pid]	Steal token from process
make_token [domain] [user] [password]	Create a token
rev2self	Revert to original token
getprivs	Enable system privileges
getsystem	Attempt to get SYSTEM privileges
execute-assembly [file.exe]	Execute .NET assembly in memory
powerpick [command]	Execute PowerShell without powershell.exe
powershell [command]	Execute PowerShell command
psinject [pid] [command]	Execute PowerShell in specific process
shinject [pid] [arch] [file.bin]	Inject shellcode into process
dllinject [pid] [file.dll]	Inject DLL into process
dllload [file.dll]	Load DLL in beacon process

옆 운동

Command	Description
psexec [target] [listener]	Use PsExec to deploy beacon
psexec_psh [target] [listener]	Use PsExec with PowerShell
winrm [target] [listener]	Use WinRM to deploy beacon
wmi [target] [listener]	Use WMI to deploy beacon
ssh [target:port] [user] [pass] [listener]	Use SSH to deploy beacon
ssh-key [target:port] [user] [key] [listener]	Use SSH with key authentication
dcsync [domain] [user]	Use DCSync to extract password hashes
jump [method] [target] [listener]	Jump to target using specified method
remote-exec [method] [target] [command]	Execute command on remote system

관련 상품

Command	Description
rportfwd [bind port] [forward host] [forward port]	Set up reverse port forward
rportfwd stop [bind port]	Stop reverse port forward
socks [port]	Start SOCKS proxy server
socks stop	Stop SOCKS proxy server
spunnel [host] [port]	Create encrypted tunnel over SMB
spunnel stop	Stop encrypted tunnel
covertvpn [interface] [IP/Mask]	Deploy Covert VPN interface
covertvpn stop	Stop Covert VPN
pivot [host] [port]	List pivot listeners
pivotlistener [host] [port]	Create pivot listener

포스트 폭발

Command	Description
mimikatz [command]	Execute Mimikatz command
hashdump	Dump password hashes
logonpasswords	Dump credentials from memory
keylogger [pid]	Start keylogger
screenshot [pid]	Take screenshot
screenwatch [pid]	Watch target's screen
printscreen	Take screenshot using PrintScreen
reg query [path]	Query registry
powerview [command]	Execute PowerView command
portscan [targets] [ports] [discovery method]	Scan for open ports
browserpivot [pid] [port]	Hijack authenticated web sessions
chromedump	Dump Chrome cookies and login data
persist [method] [listener]	Set up persistence
elevate [exploit] [listener]	Attempt privilege escalation

Malleable C2 단면도

기본 구조

카지노사이트

시험 단면도

카지노사이트

Aggressor 스크립트

기본 스크립트 구조

카지노사이트

일반적인 스크립트 기능

Function	Description
blog($1, "message")	Write to beacon console
bshell($1, "command")	Execute shell command
bpowershell($1, "command")	Execute PowerShell command
bpowerpick($1, "command")	Execute PowerShell without powershell.exe
bexecute_assembly($1, "/path/to/file.exe")	Execute .NET assembly
bdllspawn($1, "/path/to/file.dll")	Inject Reflective DLL
bpsexec($1, "target", "listener")	Execute PsExec lateral movement
bwmi($1, "target", "listener")	Execute WMI lateral movement
bwinrm($1, "target", "listener")	Execute WinRM lateral movement

옵션 정보 관련 기사

공정 사출

카지노사이트

Evasion 기술

카지노사이트

일반 작업 흐름

초기 액세스

ο 회원 관리

Privilege 확장

카지노사이트

Credential 수확

카지노사이트

옆 운동

카지노사이트

회사 소개

카지노사이트

지원하다

• 공식 코발트 스트라이크 문서
• Cobalt Strike 사용자 가이드
• 마블 C2 프로필
• Aggressor 스크립트 문서
• 코발트 스트라이크 MITRE ATT&CK 매핑