cobalstrike 常用命令 使用-女黑客 - Powered by Discuz! Archiver

nvhack 发表于 2022-8-25 03:21:13

cobalstrike 常用命令 使用

Beacon使用 在目标上线CS后,右键目标 interact 使用 Beacon
在 Cobalt Strike 中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机Beacon 与 teamserver 通信一次)
如果sleep时间过长,在下载文件时花费时间明显过长,所以在测试时会把时间降低一点 。
一般拿到 Beacon 后先执行 sleep 修改到合适的睡眠时间,根据实战环境来调节,建议不要太快,不然流量会很明显。
Beacon 中不能直接输入 cmd 命令,比如要让目标机执行 ipconfig 这条cmd命令,对应的beacon命令是 shell ipconfig
其他的beacon命令,可以在beacon中输入help


argue                     匹配过程的欺骗参数
   blockdlls               阻止子进程中的非Microsoft DLL
   browserpivot             设置浏览器 pivot 会话
   cancel                   取消正在进行的下载
   cd                     变更目录
   checkin                   Call home and post data
   clear                     清除 beacon 队列
   connect                   通过TCP连接到Beacon peer
   covertvpn               部署Covert VPN客户端
   cp                     复制文件
   dcsync                   从DC提取密码哈希
   desktop                   查看目标桌面并与之交互
   dllinject               将反射DLL注入到进程中
   dllload                   使用LoadLibrary()将DLL加载到进程中
   download               下载文件
   downloads               列出正在进行的文件下载
   drives                   列出目标上的驱动器
   elevate                   在提升权限的环境中生成会话
   execute                   在目标上执行程序(无输出)
   execute-assembly         在目标内存中执行本地 .NET 程序
   exit                     终止beacon会话
   getprivs               在当前令牌上启用系统特权
   getsystem               尝试获得SYSTEM
   getuid                   获取用户ID
   hashdump               转储密码哈希
   help                     帮助菜单
   inject                   在特定进程中产生会话
   inline-execute         在此会话中运行Beacon Object File
   jobkill                   杀死长期运行的后渗透任务
   jobs                     列出长期运行的后渗透任务
   jump                     在远程主机上生成会话
   kerberos_ccache_use       将缓存中的kerberos tickets应用于此会话
   kerberos_ticket_purge   清除本次会议中的kerberos tickets
   kerberos_ticket_use       将kerberos tickets应用于此会话
   keylogger               将键盘记录器注入进程
   kill                     杀死进程
   link                     通过命名管道连接到Beacon peer
   logonpasswords         使用mimikatz转储凭证和哈希
   ls                     列出文件
   make_token               创建令牌以传递凭据
   mimikatz               运行mimikatz命令
   mkdir                     创建目录
   mode dns               将DNS A记录用作数据通道(仅DNS beacon)
   mode dns-txt             将DNS TXT记录用作数据通道(仅DNS beacon)
   mode dns6               将DNS AAAA记录用作数据通道(仅DNS beacon)
   mv                     移动文件
   net                     网络和主机枚举工具
   note                     给beacon分配一个注释
   portscan               扫描网络以查找开放服务
   powerpick               通过 Unmanaged PowerShell执行命令
   powershell               通过powershell.exe执行命令
   powershell-import         导入Powershell脚本
   ppid                     为产生的post-ex jobs设置父ID
   ps                     显示进程列表
   psinject               在特定进程中执行powershell命令
   pth                     使用Mimikatz进行哈希传递
   pwd                     打印当前目录
   reg                     查询注册表
   remote-exec               在远程主机上运行命令
   rev2self               恢复为原始令牌
   rm                     删除文件或文件夹
   rportfwd               设置反向端口转发
   run                     在目标上执行程序(返回输出)
   runas                     以其他用户身份执行程序
   runasadmin               在提升权限的环境中执行程序
   runu                     在另一个PID下执行程序
   screenshot               截屏
   setenv                   设置环境变量
   shell                     通过cmd.exe执行命令
   shinject               将Shellcode注入进程
   shspawn                   生成进程并将shellcode注入其中
   sleep                     设置beacon睡眠时间
   socks                     启动SOCKS4a服务器以中继流量
   socks stop               停止SOCKS4a服务器
   spawn                     产生一个会话
   spawnas                   以其他用户身份发起会话
   spawnto                   设置可执行文件以将进程生成为
   spawnu                   在另一个进程下产生会话
   ssh                     使用SSH在主机上生成一个SSH会话
   ssh-key                   使用SSH在主机上生成一个SSH会话
   steal_token               从进程中窃取访问令牌
   timestomp               将时间戳从一个文件应用到另一个文件
   unlink                   与父Beacon断开连接
   upload                   上传文件

页: [1]
查看完整版本: cobalstrike 常用命令 使用