코발트 Strike Cheat 시트
제품정보
Cobalt Strike는 고급 위협 배우를 에뮬레이션하기 위해 설계된 상업 침투 테스트 및 빨간색 팀 운영 플랫폼입니다. 그것은 타협 시스템에 beacons (시약)을 배치 할 수 있도록 연산자를 허용하는 포스트 폭발 프레임 워크를 제공, 명령 및 제어 (C2) 채널을 설정, 다양한 공격 보안 작업을 수행.
· Warning: Cobalt Strike는 해당 환경에서만 사용되어야 하는 상업 보안 테스트 도구입니다.
핵심 부품
팀 서버
- 중앙 명령 및 제어 서버
- Linux에서 실행
- 비콘 및 청취자 관리
- 팀 운영을 위한 협업 제공
회사 소개
- Java 기반 GUI 응용
- Team Server에 연결
- beacons과 상호 작용하는 통신수를 위한 공용영역
- 대상 네트워크를 시각화
스낵 바
- 포스트 폭발을 위한 1 차적인 탑재량
- Team Server와의 통신 설정
- 공격 작업에 대한 다양한 기능을 제공합니다
- 다른 통신 형태에서 작동할 수 있습니다
설정 및 구성
팀 서버 설정
카지노사이트
고객 설정
카지노사이트
관심상품
Listeners 만들기
카지노사이트
Listener 유형
| | Type | Description | | | --- | --- | | | HTTP | Uses HTTP for C2 communication | | | | HTTPS | Uses HTTPS for C2 communication | | | | DNS | Uses DNS queries for stealthy C2 | | | | SMB | Uses named pipes for peer-to-peer C2 | | | | TCP | Uses direct TCP connections | | | | Foreign | Integrates with other C2 frameworks | |
Payload 생성
Beacon Payload 유형
카지노사이트
| | Payload Type | Description | | | --- | --- | | | Windows Executable | Standard .exe file | | | | Windows Service EXE | Service executable | | | | DLL | Dynamic Link Library | | | | PowerShell | PowerShell one-liner | | | | Python | Python script | | | | Office Macro | Macro for Office documents | | | | Shellcode | Raw shellcode | |
Artifact 키트
카지노사이트 - 증발 기술로 사용자 정의 페이로드 생성 - 검출을 피하기 위한 서명을 수정합니다. - 사용자 정의 템플릿
Beacon 명령
세션 관리
| | Command | Description | |
| --- | --- |
| | help | Display help information | |
| | sleep [seconds] [jitter%] | Set sleep time and jitter | |
| | checkin | Force immediate check-in | |
| | exit | Terminate the beacon session | |
| | clear | Clear the beacon's task queue | |
| | jobs | List running jobs | |
| | jobkill [JID] | Kill a running job | |
| | mode dns | Switch to DNS mode | |
| | mode dns-txt | Switch to DNS-TXT mode | |
| | mode dns6 | Switch to DNS6 mode | |
| | mode http | Switch to HTTP mode | |
| | mode smb | Switch to SMB mode | |
정보 수집
| | Command | Description | |
| --- | --- |
| | hostname | Get the hostname | |
| | ipconfig | Display network configuration | |
| | netstat | Display network connections | |
| | ps | List running processes | |
| | tasklist | Alternative to ps | |
| | getuid | Get current user ID | |
| | whoami | Get detailed user information | |
| | pwd | Print working directory | |
| | drives | List available drives | |
| | dir [directory] | List files in directory | |
| | ls [directory] | Alternative to dir | |
| | net [command] | Execute net command | |
| | reg query [path] | Query registry | |
| | sysinfo | Get system information | |
파일 작업
| | Command | Description | |
| --- | --- |
| | cd [directory] | Change directory | |
| | cp [source] [destination] | Copy a file | |
| | mkdir [directory] | Create a directory | |
| | mv [source] [destination] | Move or rename a file | |
| | rm [file] | Delete a file | |
| | rmdir [directory] | Delete a directory | |
| | cat [file] | Display file contents | |
| | download [file] | Download a file from target | |
| | upload [file] | Upload a file to target | |
| | timestomp [file] [template] | Modify file timestamps | |
| | ls-acl [file] | List file permissions | |
공정 운영
| | Command | Description | |
| --- | --- |
| | execute [program] | Execute without capturing output | |
| | shell [command] | Execute and capture output | |
| | run [program] | Execute a program | |
| | runas [user] [password] [program] | Execute as another user | |
| | pth [user] [domain] [hash] | Pass-the-hash to create a token | |
| | steal_token [pid] | Steal token from process | |
| | make_token [domain] [user] [password] | Create a token | |
| | rev2self | Revert to original token | |
| | getprivs | Enable system privileges | |
| | getsystem | Attempt to get SYSTEM privileges | |
| | execute-assembly [file.exe] | Execute .NET assembly in memory | |
| | powerpick [command] | Execute PowerShell without powershell.exe | |
| | powershell [command] | Execute PowerShell command | |
| | psinject [pid] [command] | Execute PowerShell in specific process | |
| | shinject [pid] [arch] [file.bin] | Inject shellcode into process | |
| | dllinject [pid] [file.dll] | Inject DLL into process | |
| | dllload [file.dll] | Load DLL in beacon process | |
옆 운동
| | Command | Description | |
| --- | --- |
| | psexec [target] [listener] | Use PsExec to deploy beacon | |
| | psexec_psh [target] [listener] | Use PsExec with PowerShell | |
| | winrm [target] [listener] | Use WinRM to deploy beacon | |
| | wmi [target] [listener] | Use WMI to deploy beacon | |
| | ssh [target:port] [user] [pass] [listener] | Use SSH to deploy beacon | |
| | ssh-key [target:port] [user] [key] [listener] | Use SSH with key authentication | |
| | dcsync [domain] [user] | Use DCSync to extract password hashes | |
| | jump [method] [target] [listener] | Jump to target using specified method | |
| | remote-exec [method] [target] [command] | Execute command on remote system | |
관련 상품
| | Command | Description | |
| --- | --- |
| | rportfwd [bind port] [forward host] [forward port] | Set up reverse port forward | |
| | rportfwd stop [bind port] | Stop reverse port forward | |
| | socks [port] | Start SOCKS proxy server | |
| | socks stop | Stop SOCKS proxy server | |
| | spunnel [host] [port] | Create encrypted tunnel over SMB | |
| | spunnel stop | Stop encrypted tunnel | |
| | covertvpn [interface] [IP/Mask] | Deploy Covert VPN interface | |
| | covertvpn stop | Stop Covert VPN | |
| | pivot [host] [port] | List pivot listeners | |
| | pivotlistener [host] [port] | Create pivot listener | |
포스트 폭발
| | Command | Description | |
| --- | --- |
| | mimikatz [command] | Execute Mimikatz command | |
| | hashdump | Dump password hashes | |
| | logonpasswords | Dump credentials from memory | |
| | keylogger [pid] | Start keylogger | |
| | screenshot [pid] | Take screenshot | |
| | screenwatch [pid] | Watch target's screen | |
| | printscreen | Take screenshot using PrintScreen | |
| | reg query [path] | Query registry | |
| | powerview [command] | Execute PowerView command | |
| | portscan [targets] [ports] [discovery method] | Scan for open ports | |
| | browserpivot [pid] [port] | Hijack authenticated web sessions | |
| | chromedump | Dump Chrome cookies and login data | |
| | persist [method] [listener] | Set up persistence | |
| | elevate [exploit] [listener] | Attempt privilege escalation | |
Malleable C2 단면도
기본 구조
카지노사이트
시험 단면도
카지노사이트
Aggressor 스크립트
기본 스크립트 구조
카지노사이트
일반적인 스크립트 기능
| | Function | Description | |
| --- | --- |
| | blog($1, "message") | Write to beacon console | |
| | bshell($1, "command") | Execute shell command | |
| | bpowershell($1, "command") | Execute PowerShell command | |
| | bpowerpick($1, "command") | Execute PowerShell without powershell.exe | |
| | bexecute_assembly($1, "/path/to/file.exe") | Execute .NET assembly | |
| | bdllspawn($1, "/path/to/file.dll") | Inject Reflective DLL | |
| | bpsexec($1, "target", "listener") | Execute PsExec lateral movement | |
| | bwmi($1, "target", "listener") | Execute WMI lateral movement | |
| | bwinrm($1, "target", "listener") | Execute WinRM lateral movement | |
옵션 정보 관련 기사
공정 사출
카지노사이트
Evasion 기술
카지노사이트
일반 작업 흐름
초기 액세스
ο 회원 관리
Privilege 확장
카지노사이트
Credential 수확
카지노사이트
옆 운동
카지노사이트
회사 소개
카지노사이트