cobalstrike 常用命令 使用-女黑客-必火安全学院

女黑客

 找回密码
 立即注册

QQ登录

只需一步,快速开始

cobalstrike 常用命令 使用

[复制链接]
发表于 2022-8-25 03:21:13 | 显示全部楼层 |阅读模式
Beacon使用 在目标上线CS后,右键目标 interact 使用 Beacon
在 Cobalt Strike 中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机Beacon 与 teamserver 通信一次)
如果sleep时间过长,在下载文件时花费时间明显过长,所以在测试时会把时间降低一点 。
一般拿到 Beacon 后先执行 sleep 修改到合适的睡眠时间,根据实战环境来调节,建议不要太快,不然流量会很明显。
Beacon 中不能直接输入 cmd 命令,比如要让目标机执行 ipconfig 这条cmd命令,对应的beacon命令是 shell ipconfig
其他的beacon命令,可以在beacon中输入help


  1. argue                     匹配过程的欺骗参数
  2.    blockdlls                 阻止子进程中的非Microsoft DLL
  3.    browserpivot             设置浏览器 pivot 会话
  4.    cancel                   取消正在进行的下载
  5.    cd                       变更目录
  6.    checkin                   Call home and post data
  7.    clear                     清除 beacon 队列
  8.    connect                   通过TCP连接到Beacon peer
  9.    covertvpn                 部署Covert VPN客户端
  10.    cp                       复制文件
  11.    dcsync                   从DC提取密码哈希
  12.    desktop                   查看目标桌面并与之交互
  13.    dllinject                 将反射DLL注入到进程中
  14.    dllload                   使用LoadLibrary()将DLL加载到进程中
  15.    download                 下载文件
  16.    downloads                 列出正在进行的文件下载
  17.    drives                   列出目标上的驱动器
  18.    elevate                   在提升权限的环境中生成会话
  19.    execute                   在目标上执行程序(无输出)
  20.    execute-assembly         在目标内存中执行本地 .NET 程序
  21.    exit                     终止beacon会话
  22.    getprivs                 在当前令牌上启用系统特权
  23.    getsystem                 尝试获得SYSTEM
  24.    getuid                   获取用户ID
  25.    hashdump                 转储密码哈希
  26.    help                     帮助菜单
  27.    inject                   在特定进程中产生会话
  28.    inline-execute           在此会话中运行Beacon Object File
  29.    jobkill                   杀死长期运行的后渗透任务
  30.    jobs                     列出长期运行的后渗透任务
  31.    jump                     在远程主机上生成会话
  32.    kerberos_ccache_use       将缓存中的kerberos tickets应用于此会话
  33.    kerberos_ticket_purge     清除本次会议中的kerberos tickets
  34.    kerberos_ticket_use       将kerberos tickets应用于此会话
  35.    keylogger                 将键盘记录器注入进程
  36.    kill                     杀死进程
  37.    link                     通过命名管道连接到Beacon peer
  38.    logonpasswords           使用mimikatz转储凭证和哈希
  39.    ls                       列出文件
  40.    make_token               创建令牌以传递凭据
  41.    mimikatz                 运行mimikatz命令
  42.    mkdir                     创建目录
  43.    mode dns                 将DNS A记录用作数据通道(仅DNS beacon)
  44.    mode dns-txt             将DNS TXT记录用作数据通道(仅DNS beacon)
  45.    mode dns6                 将DNS AAAA记录用作数据通道(仅DNS beacon)
  46.    mv                       移动文件
  47.    net                       网络和主机枚举工具
  48.    note                     给beacon分配一个注释
  49.    portscan                 扫描网络以查找开放服务
  50.    powerpick                 通过 Unmanaged PowerShell执行命令
  51.    powershell               通过powershell.exe执行命令
  52.    powershell-import         导入Powershell脚本
  53.    ppid                     为产生的post-ex jobs设置父ID
  54.    ps                       显示进程列表
  55.    psinject                 在特定进程中执行powershell命令
  56.    pth                       使用Mimikatz进行哈希传递
  57.    pwd                       打印当前目录
  58.    reg                       查询注册表
  59.    remote-exec               在远程主机上运行命令
  60.    rev2self                 恢复为原始令牌
  61.    rm                       删除文件或文件夹
  62.    rportfwd                 设置反向端口转发
  63.    run                       在目标上执行程序(返回输出)
  64.    runas                     以其他用户身份执行程序
  65.    runasadmin               在提升权限的环境中执行程序
  66.    runu                     在另一个PID下执行程序
  67.    screenshot               截屏
  68.    setenv                   设置环境变量
  69.    shell                     通过cmd.exe执行命令
  70.    shinject                 将Shellcode注入进程
  71.    shspawn                   生成进程并将shellcode注入其中
  72.    sleep                     设置beacon睡眠时间
  73.    socks                     启动SOCKS4a服务器以中继流量
  74.    socks stop               停止SOCKS4a服务器
  75.    spawn                     产生一个会话
  76.    spawnas                   以其他用户身份发起会话
  77.    spawnto                   设置可执行文件以将进程生成为
  78.    spawnu                   在另一个进程下产生会话
  79.    ssh                       使用SSH在主机上生成一个SSH会话
  80.    ssh-key                   使用SSH在主机上生成一个SSH会话
  81.    steal_token               从进程中窃取访问令牌
  82.    timestomp                 将时间戳从一个文件应用到另一个文件
  83.    unlink                   与父Beacon断开连接
  84.    upload                   上传文件
复制代码


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|小黑屋|女黑客 |网站地图

© Copyright 2021 版权所有(一极教育科技有限公司)

津ICP备17008032号-3
快速回复 返回顶部 返回列表