cobalstrike 常用命令 使用
Beacon使用 在目标上线CS后,右键目标 interact 使用 Beacon在 Cobalt Strike 中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机Beacon 与 teamserver 通信一次)
如果sleep时间过长,在下载文件时花费时间明显过长,所以在测试时会把时间降低一点 。
一般拿到 Beacon 后先执行 sleep 修改到合适的睡眠时间,根据实战环境来调节,建议不要太快,不然流量会很明显。
Beacon 中不能直接输入 cmd 命令,比如要让目标机执行 ipconfig 这条cmd命令,对应的beacon命令是 shell ipconfig
其他的beacon命令,可以在beacon中输入help
argue 匹配过程的欺骗参数
blockdlls 阻止子进程中的非Microsoft DLL
browserpivot 设置浏览器 pivot 会话
cancel 取消正在进行的下载
cd 变更目录
checkin Call home and post data
clear 清除 beacon 队列
connect 通过TCP连接到Beacon peer
covertvpn 部署Covert VPN客户端
cp 复制文件
dcsync 从DC提取密码哈希
desktop 查看目标桌面并与之交互
dllinject 将反射DLL注入到进程中
dllload 使用LoadLibrary()将DLL加载到进程中
download 下载文件
downloads 列出正在进行的文件下载
drives 列出目标上的驱动器
elevate 在提升权限的环境中生成会话
execute 在目标上执行程序(无输出)
execute-assembly 在目标内存中执行本地 .NET 程序
exit 终止beacon会话
getprivs 在当前令牌上启用系统特权
getsystem 尝试获得SYSTEM
getuid 获取用户ID
hashdump 转储密码哈希
help 帮助菜单
inject 在特定进程中产生会话
inline-execute 在此会话中运行Beacon Object File
jobkill 杀死长期运行的后渗透任务
jobs 列出长期运行的后渗透任务
jump 在远程主机上生成会话
kerberos_ccache_use 将缓存中的kerberos tickets应用于此会话
kerberos_ticket_purge 清除本次会议中的kerberos tickets
kerberos_ticket_use 将kerberos tickets应用于此会话
keylogger 将键盘记录器注入进程
kill 杀死进程
link 通过命名管道连接到Beacon peer
logonpasswords 使用mimikatz转储凭证和哈希
ls 列出文件
make_token 创建令牌以传递凭据
mimikatz 运行mimikatz命令
mkdir 创建目录
mode dns 将DNS A记录用作数据通道(仅DNS beacon)
mode dns-txt 将DNS TXT记录用作数据通道(仅DNS beacon)
mode dns6 将DNS AAAA记录用作数据通道(仅DNS beacon)
mv 移动文件
net 网络和主机枚举工具
note 给beacon分配一个注释
portscan 扫描网络以查找开放服务
powerpick 通过 Unmanaged PowerShell执行命令
powershell 通过powershell.exe执行命令
powershell-import 导入Powershell脚本
ppid 为产生的post-ex jobs设置父ID
ps 显示进程列表
psinject 在特定进程中执行powershell命令
pth 使用Mimikatz进行哈希传递
pwd 打印当前目录
reg 查询注册表
remote-exec 在远程主机上运行命令
rev2self 恢复为原始令牌
rm 删除文件或文件夹
rportfwd 设置反向端口转发
run 在目标上执行程序(返回输出)
runas 以其他用户身份执行程序
runasadmin 在提升权限的环境中执行程序
runu 在另一个PID下执行程序
screenshot 截屏
setenv 设置环境变量
shell 通过cmd.exe执行命令
shinject 将Shellcode注入进程
shspawn 生成进程并将shellcode注入其中
sleep 设置beacon睡眠时间
socks 启动SOCKS4a服务器以中继流量
socks stop 停止SOCKS4a服务器
spawn 产生一个会话
spawnas 以其他用户身份发起会话
spawnto 设置可执行文件以将进程生成为
spawnu 在另一个进程下产生会话
ssh 使用SSH在主机上生成一个SSH会话
ssh-key 使用SSH在主机上生成一个SSH会话
steal_token 从进程中窃取访问令牌
timestomp 将时间戳从一个文件应用到另一个文件
unlink 与父Beacon断开连接
upload 上传文件
页:
[1]