Question

CobaltStrike 目录结构

|  cobaltstrike_cn.bat 【CS Windows 客户端启动程序（中文)】
|  cobaltstrike_en.bat 【CS Windows 客户端启动程序（英文)】
│  cobaltstrike.jar 【主体程序】
|  cobaltStrikeCN.jar 【翻译插件】
│  teamserver  【Linux 服务端启动程序(linux shell 脚本)】
|  teamserver.bat 【Windows 服务端启动程序(windows bat 批处理)】
|─third-party 第三方工具 【vnc 远程功能的 dll】
|        README.vncdll.txt
|        winvnc.x64.dll 【vnc 服务端 dllx64 位】
|        winvnc.x86.dll 【vnc 服务端 dllx86 位】
|—Win_Linux shell script.7z 一些脚本文件

Win_Linux shell script.7z 里主要是是一些脚本无后缀名的是 Linux 版的.bat 后缀的是 Windows 版的

│  agscript [拓展应用的脚本]
│  c2lint  [检查 c2 配置文件的语法和预览]
|  cobaltstrike [客户端启动程序]
|  peclone [用来解析 dll]
|  teamserver [服务端启动程序]

启动服务端

cobaltstrike.jar 既是服务端程序也是客户端程序，一般情况 Linux 用teamserver启动服务端,Windows 一般用teamserver.bat启动服务端

teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]

    <host> is the (default) IP address of this Cobalt Strike team server
    <password> is the shared password to connect to this server
    [/path/to/c2.profile] is your Malleable C2 profile
    [YYYY-MM-DD] is a kill date for Beacon payloads run from this server

Windows 和 Linux 通用这个命令，如果提示没有证书就按照提示创建证书，权限不够就以管理员权限运行。

第一个参数为服务器监听 IP 地址 此选项为必填选项

第二个参数为服务器连接密码客户端使用此密码连接服务器 此选项为必填选项

第三个参数为 Malleable C2 profile 配置文件如果不使用可以不用填写 此选项为可选选项

第四个参数为 Beacon 有效负载运行结束日期。如果设置此选项则 CS 生成的每个 Beacon stage 中都将嵌入此结束日期，Beacon payload 在此日期后将拒绝运行，处于 sleep 状态的 Beacon payload 醒来后也将自动退出结束运行 此选项为可选选项

启动客户端

在 Linux 下或 Windows 下可以使用此命令行也可以直接运行cobaltstrike_xx.bat

使用翻译插件

java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

不使用翻译插件

java -Dfile.encoding=UTF-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

当 Cobalt Strike 客户端启动时，你会看到一个连接对话框

CS 客户端连接

输入主机 ip，连接端口（默认 50050)，以及你想使用的用户名和服务端启动时设置的密码然后点击连接就可以连接到服务器了。

首次连接确认服务端 SHA256

首次连接的服务器会显示服务端的 SSL 证书的 SHA256 哈希值请确认它是否和你的服务端 SSL 证书的 SHA256 哈希值一样，点击是，然后 Cobalt Strike 客户端就会连接到这个服务器。Cobalt Strike 也会记住这个 SHA256 hash 下次连接到相同 hash 的服务器就不会在提醒