看了windows 2008如何安裝Cobalt Strike ，覺得自己也有很多想法想說說，首先安裝使用這塊其實(shí)沒文章里說的那么麻煩的，在win2k8上啟動(dòng)msfrpc，直接幾行就行：

@echo off
CALL "D:/metasploit\scripts\setenv.bat"
cd D:\metasploit\apps\pro\msf3\
ruby msfrpcd -U msf -P msf -S -f

在windows上所謂的破解cobaltstrike，也沒那么麻煩，一個(gè)bat搞定：

@echo off
del C:\Users\Administrator\.cobaltstrike.prop
java -XX:+AggressiveHeap -XX:+UseParallelGC -jar D:\tools\cobaltstrike-trial\cobaltstrike.jar

這樣永遠(yuǎn)都是21天試用。

關(guān)于cobaltstrike(以下簡(jiǎn)稱CS) ,它不僅僅是一個(gè)圖形界面化了的MSF，更重要的是它帶來的附加功能和團(tuán)隊(duì)協(xié)作能力，官網(wǎng)(http://www.advancedpentest.com/)有詳細(xì)的視頻教程,作者語速適中,聽力沒問題的應(yīng)該能聽懂吧?如果有需要我可以考慮做幾個(gè)中文的教程.另外,作者(Raphael Mudge,blog地址:http://blog.strategiccyber.com) 的博客上也有大量相關(guān)技術(shù)資料，仔細(xì)品讀會(huì)有不少收獲的。

最重要的是,強(qiáng)烈建議不要在windows下用CS連接本地MSFRPC，我跟作者溝通過，windows下可能會(huì)出現(xiàn)些莫名其妙的問題,最好是在kali下運(yùn)行，很穩(wěn)定，功能也都可以用。而最重要的一點(diǎn)是,CS支持team合作模式,也就是說它有個(gè)teamserver程序,可以通過msfrpc把MSF當(dāng)成一個(gè)服務(wù)端,支持多個(gè)人遠(yuǎn)程登錄到CS的teamserver端,協(xié)同滲透.而這個(gè)teamserver只支持linux,so,do you get it?(當(dāng)然,如果你使用的是teamserver模式的話,那CS客戶端運(yùn)行在linux或者windows上就都可以了)

關(guān)于beacon，這個(gè)東西最吸引人的地方可能就是它的DNS和DNS-TXT回連方式了(當(dāng)然，它還支持http方式)。利用DNS查詢包和應(yīng)答包來進(jìn)行通訊，方法是：你要有一個(gè)可控的域名，然后再添加一個(gè)A記錄，指向到你的外網(wǎng)IP(運(yùn)行CS的機(jī)器，如果是teamserver模式，那就是運(yùn)行teamserver的機(jī)器的外網(wǎng)IP)，然后再添加幾個(gè)NS記錄(一般2~3個(gè)就夠了)，將其解析倒你添加的那條A記錄上。這樣，當(dāng)beacon運(yùn)行時(shí)(以DNS或DNS-TXT方式)，就會(huì)去查詢你設(shè)置的NS服務(wù)器，查詢包最終會(huì)到達(dá)你的機(jī)器，然后產(chǎn)生應(yīng)答包，如此往來通訊。DNS模式采用的是輪詢機(jī)制，每隔一段時(shí)間來服務(wù)器查詢一下有沒有要執(zhí)行的任務(wù)，有就執(zhí)行然后回傳結(jié)果，沒有就繼續(xù)等待下次輪詢。這種方式很大程度上可以繞過內(nèi)網(wǎng)的很多限制，但是缺點(diǎn)就是每次承載的數(shù)據(jù)量是有限的，所以在大數(shù)據(jù)量的情況下，會(huì)產(chǎn)生非常多的DNS包。好在beacon支持實(shí)時(shí)轉(zhuǎn)換通訊模式，可以使用mode命令隨時(shí)切換到HTTP模式上。所以一般情況下，使用beacon的dns模式回連成功后，根據(jù)實(shí)際情況再進(jìn)行模式的轉(zhuǎn)換(具體操作效果，在官網(wǎng)視頻里有演示)。

因?yàn)槲沂褂肕SF的目的只有兩個(gè)：信息收集和后滲透。所以我一般很少使用MSF和CS里自帶的自動(dòng)化攻擊模塊去直接攻擊目標(biāo)(雖然自動(dòng)化帶來了便利，但是同樣帶來了不可控的過程，我不喜歡不可控的東西!)，因此beacon對(duì)我來說就是個(gè)后滲透的工具(可以理解為RAT都行，因?yàn)閎eacon已經(jīng)具備了RAT幾乎所有的功能了)，然而CS里的beacon只能是在使用各種攻擊手段(比如溢出，釣魚等等)成功在目標(biāo)機(jī)器上運(yùn)行了stager后(即第一階段的shellcode)，由stager負(fù)責(zé)將beacon拉回到目標(biāo)機(jī)器上加載執(zhí)行，這不符合我的要求。我一般都是成功拿到目標(biāo)機(jī)器權(quán)限后，為了進(jìn)一步做內(nèi)網(wǎng)滲透才會(huì)用beacon，這就需要我自己?jiǎn)为?dú)上傳beacon去執(zhí)行。而CS它是在你選擇好各種攻擊參數(shù)后，就自動(dòng)在你的機(jī)器上生成一個(gè).dll文件，而這個(gè)文件已經(jīng)被兩次encode過了(使用的是MSF自帶的encoder：shikata_na_gai和alpha_mix)。所以沒法直接拿來用，而在cobaltstrike.jar文件里，有個(gè)resource目錄下面會(huì)有一個(gè)beacon。dll，這個(gè)dll就是沒有加密前的模板文件，我們只需要弄懂它的配置信息是怎么寫的(由于自己的白癡腦子，這個(gè)我花了好久時(shí)間才搞定)，就可以基于這個(gè)模板文件，做自己的生成器，并利用dll2shellcode將其轉(zhuǎn)換為shellcode，然后用自己的加密方式加密，這樣免殺效果一流，而且可以應(yīng)用到多個(gè)場(chǎng)合下。(關(guān)于dll2shellcode，現(xiàn)在這個(gè)DD應(yīng)該都普及了吧?任意dll轉(zhuǎn)成shellcode有兩種實(shí)現(xiàn)方式，一種是中規(guī)中居的加載dll，解析其導(dǎo)入表再重寫重定位表等等，另一種是一種猥瑣方式的加載就是將dll直接轉(zhuǎn)換成binary code后在其前面附上一段shellcode負(fù)責(zé)將dll的binary code解密還原后直接內(nèi)存加載，不管哪種方式效果是一樣的?，F(xiàn)在任意exe轉(zhuǎn)換成shellcode也不是難事了，有了這兩個(gè)神器，有沒有源碼，你都可以進(jìn)行免殺和改進(jìn)了，翻翻過去的工具，哪些是非常好卻因?yàn)槊鈿栴}而坐了冷板凳的呢?)

在這里，我順便提一下MSF里的meterpreter，你稱它神器一點(diǎn)都不為過。懂編程，會(huì)玩shellcode的朋友，可以將meterpreter的多種回連方式的shellcode提取出來，定位出回連地址和端口的位置，自己進(jìn)行加密封裝，然后做成一個(gè)生成器，從此，你將擁有一款強(qiáng)大的后滲透專用的RAT!

說到這里我不禁要贊嘆一下，老外的思想確實(shí)有很多值得學(xué)習(xí)的地方，這也是我常年混跡于國(guó)外各種論壇，blog等帶給我的好處。有關(guān)于MSF和CS的東西我有很多要說的，但限于篇幅一次也說不完，這都是我長(zhǎng)期使用的經(jīng)驗(yàn)，有機(jī)會(huì)一一道來吧。有想交流的可以跟帖或者直接給我發(fā)郵件：moriarty@cetgroup.org。

最后我要說的是，MSF真是個(gè)好東西，如果你精通ruby，又已經(jīng)把MSF的代碼吃透了，那這個(gè)MSF在你手里就不僅僅是一個(gè)工具了，你可以任意修改和擴(kuò)展它，使得它更適應(yīng)你當(dāng)前的工作。你能想象的到的工作，用它一個(gè)就夠了!

官網(wǎng)更新的最新版本1.48我已經(jīng)都下載(mac，linux和windows版本)下來了，對(duì)于懶人朋友可以從這里直接下載這三個(gè)包：

下載地址