Cobaltstrike系列教程(六)文件/进程管理与键盘记录

J0o1ey

0x000-前文

Cobaltstrike系列教程(一)简介与安装
https://bbs.ichunqiu.com/thread-52937-1-1.html
Cobaltstrike系列教程(二)Listner与Payload生成
https://bbs.ichunqiu.com/thread-52982-1-1.html
Cobaltstrike系列教程(三)beacon详解
https://bbs.ichunqiu.com/thread-52994-1-1.html
Cobaltstrike系列教程(四)菜单栏与视图
https://bbs.ichunqiu.com/thread-52997-1-1.html
Cobaltstrike系列教程(五)凭据导出
https://bbs.ichunqiu.com/thread-53001-1-1.html

0x001-文件管理

①基础管理

选择一个会话，右键，目标-->文件管理

Upload为上传一个文件 ，Make Directory为创建文件夹，List Drives为列出盘符，refresh为刷新，这块很简单，就不一一讲了。

②下载文件

需要使用文件管理功能，然后右键download

再点击菜单栏上方的文件下载按钮

点击sync files，配置保存路径即可下载文件

③执行或删除文件

执行文件点击execute后会弹出一个窗口，要求你输入要执行程序的参数，这边按你的要求填写就行，不需要参数的话就不填。

0x002-进程管理

①进入进程管理

选择一个beacon，右键，目标-->进程列表

进程列表中 ，kill为关闭程序，refresh为刷新进程列表，inject则是把beacon注入进程，Log Keystrokes为键盘记录，Stea Token为窃取运行指定程序的用户令牌

简单的功能就不讲了，这边讲一下进程注入(inject)，键盘记录(Log Keystrokes)。

②进程注入

该功能可以把你的beacon会话注入到另外一个程序之中，注入后，及时你原来的后门进程被关闭，你依然可以手握目标机的权限

选择进程，点击inject，随后选择监听器，点击choose，即可发现Cobaltstrike弹回了目标机的一个新会话，这个会话就是成功注入到某进程的beacon

③键盘记录

选择好进程后(可ctrl多选)，点击Log Keystrokes，然后再点击菜单栏上的“键盘记录”按钮

如图，成功get到目标机的键盘记录

0x003-小福利

这次给大家分享的是一键查询子域名小程序，用的是百度的接口，方便快捷，回复下载~

游客，如果您要查看本帖隐藏内容请回复

Keytool.exe -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"

哥们你这软件好像带毒啊   

阿道夫gasgas发达是打发斯蒂芬萨达

感谢题主的分享，持续跟进学习中

sdsdfgsdfgsdfgsdfgsdfg

xiaogongjuxiaogongju

6666666666666666666

66666666666666666

谢谢分享。。。。

感谢分享

好东西，谢谢大佬

这个很棒棒

谢谢分享。。。。

谢谢分享

查询子域名

好东西，谢谢分享

好东西，谢谢大佬

好东西，谢谢大佬

感谢分享