菜单详情

New Connection     # 新建连接，支持连接多个服务器端
Preferences        # 设置Cobal Strike界面、控制台、以及输出报告样式、TeamServer连接记录
Visualization      # 主要展示输出结果的视图
VPN Interfaces     # 设置VPN接口
Listenrs           # 创建监听器
Script Manager     # 脚本管理，可以通过AggressorScripts脚本来加强自身，能够扩展菜单栏，Beacon命令行，提权脚本等

View(视图)

Applications    # 显示受害主机的应用信息
Credentials     # 显示所有以获取的受害主机的凭证，如hashdump、Mimikatz
Downloads       # 查看已下载文件
Event Log       # 主机上线记录以及团队协作聊天记录
Keystrokes      # 查看键盘记录结果
Proxy Pivots    # 查看代理模块
Screenshots     # 查看所有屏幕截图
Script Console  # 加载第三方脚本以增强功能
Targets         # 显示所有受害主机
Web Log         # 所有Web服务的日志

Attacks(攻击)

Packages(生成后门)

HTML Application   # 生成(executable/VBA/powershell)这三种原理实现的恶意HTA木马文件
MS Office Macro    # 生成office宏病毒文件
Payload Generator  # 生成各种语言版本的payload
Windows Executable # 生成可执行exe木马
Windows Executable(Stageless) # 生成无状态的可执行exe木马

Web Drive-by (钓鱼攻击)

Manage      # 对开启的web服务进行管理
Clone Site  # 克隆网站，可以记录受害者提交的数据
Host File   # 提供文件下载，可以选择Mime类型
Scripted Web Delivery   # 为payload提供web服务以便下载和执行，类似于Metasploit的web_delivery
Signed Applet Attack    # 使用java自签名的程序进行钓鱼攻击(该方法已过时)
Smart Applet Attack     # 自动检测java版本并进行攻击，针对Java 1.6.0_45以下以及Java 1.7.0_21以下版本(该方法已过时)
System Profiler         # 用来获取系统信息，如系统版本，Flash版本，浏览器版本等

Beacon介绍

• Beacon是CS的Payload ( 攻击载荷 )
• Beacon有两种通信模式。一种是异步通信模式，这种模式通信效率缓慢，Beacon回连团队服务器、下载任务、然后休眠；另一种是交互式通信模式，这种模式的通信是实时发生的。
• 通过HTTP、HTTPS和DNS出口网络
• 使用SMB协议的时候是点对点通信
• Beacon有很多的后渗透攻击模块和远程管理工具

Staged和Stageless的区别

Staged（有阶段）:

• 定义： 在有阶段的执行方式中，Cobalt Strike Payload 分为两个主要阶段，即 Stager 和 Stage。
• Stager（初始执行载荷）： 下载一个东西
  • 定义： Stager是Stage 1，是一个较小的、轻量级的初始执行载荷。
  • 作用： 主要任务是与Cobalt Strike团队服务器建立初始连接，并从服务器下载更大的 Payload，也就是Stage 2 大白哥免杀课
• Stage （更大、完整的执行载荷）：
  • 定义： Stage是Stage 2，是一个更大、更完整的执行载荷。
  • 作用： 一旦Stager与Cobalt Strike团队服务器建立连接，Stager会请求下载Stage。Stage是整个Payload的主体，包含了更多的功能和模块。一旦下载，Stage在目标系统上执行，并与Cobalt Strike服务器保持连接，执行渗透测试人员指定的各种命令和操作。
    Stageless（无阶段）:
• 定义： 在无阶段的执行方式中，整个 Payload 在一次性的过程中直接执行，而不需要分为两个阶段。
• 特点： 由于无阶段的执行方式减少了与团队服务器的交互，因此可能更难被检测。然而，这也限制了 Payload 的大小，因为整个 Payload 需要在一次连接中传输。