梦中

发表文章数:82

首页 » 技术文章 » 正文
 ./teamserver ip 密码  启动团队服务器


交换控制台命令

ls 显示当前目录文件
ps 显示所有进程
shell 命令会对 Beacon 创建任务来通过受害主机的 cmd.exe 来执行命令。当命令完成时,Beacon 会将输出展示给你。
run 命令来不使用 cmd.exe 执行命令。 run 命令会将输出发送给你。 
execute 命令会在后台运行程序,但不捕获输出。
powershell 命令来在受害主机上使用 PowerShell 来执行命令。
powerpick 命令不使用powershell.exe 来执行 PowerShell cmdlet
powershell 和 powerpick 命令会使用你的当前令牌( token )。
psinject 命令会将非托管的 PowerShell 注入到一个特定的进程中并从此位置运行你的 cmdlet。
pwd 命令将告诉你你当前在哪个目录中工作。
setenv 命令会设置一个环境变量。

 

工具条

Cobalt Strike 顶部的工具条提供访问 Cobalt Strike 常用功能的快捷方式。熟悉此工具条按钮会提升你 使用 Cobalt Strike 的效率

cs 一些常规命令和简单使用教程

 

 

控制台

cs 一些常规命令和简单使用教程

 

上传和下载文件

download命令会下载请求的文件。你不需要在一个带有空格的文件名前后打引号。Beacon 被设计为
低速提取数据。在每次连接到团队服务器时,Beacon 会下载它的任务要求获取的每一个文件的固定大
小的块。这个块的大小取决于 Beacon 当前的数据通道。HTTP 和 HTTPS 通道会拉取 512kb 的数据
块。

输入 downloads 命令来查看当前 Beacon 正在进行的文件下载列表。使用 cancel 命令加一个文件名
来取消正在进行的一个下载任务。你可以在你的 cancel 命令中使用通配符来一次取消多个文件下载任
务。

在 Cobalt Strike 中通过 View → Downloads 来查看你的团队迄今为止已下载的文件 。此选项卡中仅
显示完成的下载内容。下载的文件被存储在团队服务器中。要把文件传回到你的系统上,先高亮选中这
些文件,然后点击 Sync Files (同步文件)。Cobalt Strike 会将选择的文件下载到你的系统上你指定
的文件夹下。

cs 一些常规命令和简单使用教程

 

upload 命令将上传一个文件到目标主机上。
当你上传一个文件时,有时你会想改变此文件的时间戳来使其混入同一文件夹下的其他文件中。使用
timestomp 命令来完成此工作。 timestomp 命令会将一个文件的修改属性访问属性和创建时间数据与
另一个文件相匹配。

cs 一些常规命令和简单使用教程

 

文件浏览器

cs 一些常规命令和简单使用教程

Beacon 的文件浏览器为你提供了一个探索受害系统上的文件的机会。通过 [Beacon] → Explore → File Browser 来打开文件浏览器。
文件浏览器会请求 Beacon 的当前工作目录列表,当结果返回之后,文件浏览器就会显示具体的文件目 录。
文件浏览器的左侧是一棵文件树,该树将已知的驱动器和文件夹组织到一个视图中,文件浏览器的右侧 展示了当前文件夹的内容。

cs 一些常规命令和简单使用教程

每个文件浏览器都会缓存接收到的文件夹列表。彩色文件夹表示该文件夹的内容位于此文件浏览器的缓 存中。你可以导航到缓存的文件夹而不生成一个新的文件列表请求。按 Refresh 会要求Beacon更新当 前内容夹。
一个深灰色的文件夹表示该文件夹的内容不在此文件浏览器缓存中。点击树中的一个文件夹来使 Beacon 生成一个任务来列出此文件夹下的内容(并更新它的缓存)。双击右侧当前文件夹视图中的深 灰色文件夹可以执行相同操作。
要转到一个文件夹,点击右侧详细文件视图中的文件夹按钮,该按钮在文件路径旁边。如果父文件夹在 该文件浏览器的缓存中,你就会立刻看到结果。如果父文件夹不在文件浏览器的缓存中,浏览器就会生 成一个任务来列出父文件夹的内容。
在一个文件上单击右键来下载或删除它。
若要查看可用的驱动器,请按 List Drives (列出驱动器)。

 

 

进程浏览器

进程浏览器做的事情显而易见;它对一个 Beacon 下达对你展示进程列表及其具体信息的任务。左侧栏 展示进程树。你 Beacon 的当前进程被黄色高亮出来了。

进程浏览器的右边部分显示进程详细信息。进程浏览器也是从另一个进程伪造令牌、部署截屏工具或者 部署键盘记录器比较方便的地方。选中一个或多个程序(按住 ctrl 键再点击程序可以多选)并按选项 卡底部的相应按钮。

cs 一些常规命令和简单使用教程

 

记录和屏幕截图

 

 

Beacon 键盘记录和截屏的工具被设计为注入另一个进程并把结果报告给你的 Beacon。
要开始键盘记录器,使用 keylogger pid 来注入一个 x86 程序。使用 keylogger pid x64 来注入 一个 x64 程序。 Explorer.exe 是一个好的候选程序。使用单独的 keylogger 命令来将键盘记录器注 入一个临时程序。键盘记录器会监视从被注入的程序中的键盘记录并将结果报告给 Beacon,直到程序 终止或者你杀死了这个键盘记录后渗透任务

cs 一些常规命令和简单使用教程

cs 一些常规命令和简单使用教程

具体注入哪一个程序其实都没关系,因为都会记录你所有的键盘记录。之所以推荐 Explorer.exe 主 要是为了持久和稳定,比如你注入了 chrome.exe 那么目标把 chrome 关了就没有了,主要是要看被 注入的这个程序是不是持久稳定,所以 explorer 是个好的选择。
请注意,多个键盘记录器可能相互冲突。对每个桌面会话只应使用一个键盘记录器。

 

 

 

 

 

屏幕截图

 

 

cs 一些常规命令和简单使用教程

cs 一些常规命令和简单使用教程

要获取屏幕截图,使用 screenshot pid 来将截屏工具注入到一个 x86 的进程中。使用 screenshot pid x64 注入到一个 x64 进程中。同样的, Explorer.exe 是一个好的候选程序。screenshot 命令的 变体将保存一个截图并退出。单独使用 screenshot 命令会将截屏工具注入到一个临时进程中。使用 screenshot pid 架构 时间 来请求截屏工具运行指定的秒数并在每一次 Beacon 连接到团队服务器的 时候报告一张屏幕截图。这是查看用户桌面的一种简便方法。
当 Beacon 接收到新的屏幕截图或者键盘记录时,它将向 Beacon 控制台发送一条消息。不过屏幕截图 和键盘记录的具体内容无法通过 Beacon 控制台查看。要查看键盘记录的具体信息,通过 View → Keystrokes 来查看从你的所有 Beacon 会话中记录的键盘记录。要查看截屏的具体信息,通过 View → Screenshots 来浏览从你的所有 Beacon 会话中获取的截屏。这两个对话框都会随着新信息的进入 而更新,这些对话框使得一个操作员可以轻松的监视从所有 Beacon 会话中获取的键盘记录和截屏

 

后渗透任务

 

一些 Beacon 的功能在另一个进程中作为任务运行(例如,键盘记录器和屏幕截图工具)。这些任务在 后台中运行,并在可用时报告其输出。使用 jobs 命令来查看在你的 Beacon 中运行的任务。使用 jobkill [job number] 来杀死一个任务。

cs 一些常规命令和简单使用教程

 

桌面控制

 

 

要与目标主机上的桌面交互,通过 [beacon] → Explore → Desktop(VNC) 。这会将一个 VNC 服务 器转入当前进程的内存中并通过 Beacon 对连接建立隧道。
当 VNC 服务器准备就绪时,Cobalt Strike 会打开一个标签为 Desktop HOST@PID 的标签页。
也可以使用 Beacon 的 desktop 命令来将一个 VNC 服务器注入一个特定的进程。使用 desktop pid 架构 low|high 命令。后一个参数用于指定 VNC 会话的画质。

cs 一些常规命令和简单使用教程

 

桌面标签页底部有一些按钮,包括

 

 

 

cs 一些常规命令和简单使用教程

 

 

 

未经允许不得转载:作者:梦中, 转载或复制请以 超链接形式 并注明出处 梦中博客
原文地址:《cs 一些常规命令和简单使用教程》 发布于2020-10-21

分享到:
赞(0) 生成海报

评论 抢沙发

9 + 2 =


长按图片转发给朋友

Vieu4.5主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册