beacon> help remote-exec
Use: remote-exec [方法] [目标] [命令]
使用指定的 [方法] 在 [目标] 上执行 [命令]
单独输入 "remote-exec" 可以查看 [方法] 列表
beacon> help blockdlls
Use: blockdlls [start|stop]
使用二进制签名策略启动子进程,该策略会阻止非Microsoft DLL加载到子进程中
使用 "blockdlls stop" 来禁用该策略
此功能需要Windows 10 / Windows Server 2012或更高版本
beacon> help argue
Use: argue [命令] [假参数]
argue [命令]
argue
当Beacon启动 [命令] 进程时,设置其命令行参数为 [假参数],用于欺骗EDR等软件采集到的命令行参数
这个选项不会影响 runu/spawnu、 runas/spawnas 以及 post-ex 任务
使用 "argue [命令]" 来禁用针对特定 [命令] 的参数伪装功能
单独输入 "argue" 可以列出所有定义了命令行参数伪装的程序
beacon> help runasadmin
Use: runasadmin [利用程序] [命令] [参数]
尝试以高权限(过UAC)运行指定的[命令]
单独输入 "runasadmin" 可以查看所有可用的本地 [利用程序]
beacon> help setenv
Use: setenv [变量] [值]
设置环境变量
beacon> help reg
Use: reg query [x86|x64] [根\路径]
reg queryv [x86|x64] [根\路径] [子项]
使用 "query" 查询注册表中的键,会列出所有子项和值
使用 "queryv" 查询注册表中的子项,仅列出子项及其值
使用 HKLM, HKCR, HKCC, HKCU 或 HKU 来指定根
指定 x86|x64 来强制查看特定的注册表
beacon> help execute-assembly
Use: execute-assembly [/本地绝对路径/file.exe] [参数]
在目标上执行本地.NET程序,此命令会在一个临时进程中加载CLR并将.NET程序加载到其中运行
beacon> help dllload
Use: dllload [pid] [c:\目标上路径\file.dll]
Load DLL into specified remote process via LoadLibrary(). The DLL must exist on the target.
通过 LoadLibrary() 将DLL加载到指定的远程进程中,DLL必须在目标机器上存在
beacon> help getprivs
Use: getprivs
在当前访问令牌上启用尽可能多的系统特权
beacon> help kerberos_ticket_purge
Use: kerberos_ticket_purge
清除当前会话中的kerberos票据
beacon> help kerberos_ccache_use
Use: kerberos_ccache_use [/本地绝对路径/file.ccache]
将Kerberos票据从本地ccache文件应用于当前会话
beacon> help kerberos_ticket_use
Use: kerberos_ticket_use [/本地绝对路径/file.ticket]
将Kerberos票据从本地ticket文件应用于当前会话
beacon> help kill
Use: kill [进程pid]
杀死指定的进程
beacon> help ps
Use: ps
显示进程列表
beacon> help timestomp
Use: timestomp [文件A] [文件B]
修改文件A的修改时间、访问时间和创建时间为文件B的时间
beacon> help getuid
Use: getuid
打印与当前访问令牌关联的用户ID
beacon> help rev2self
Use: rev2self
还原为原始访问令牌
beacon> help steal_token
Use: steal_token [pid]
从进程中窃取访问令牌
beacon> help getsystem
Use: getsystem
尝试获得SYSTEM权限
beacon> help link
Use: link [目标] [管道名]
link [目标]
连接SMB Beacon并建立控制通道,所有对于SMB Beacon的命令请求都将通过当前Beacon会话
可以指定一个显式的 [管道名] 以连接到特定管道。否则,将使用当前配置文件中的默认管道名
beacon> help unlink
Use: unlink [ip地址]
unlink [ip地址] [pid]
断开与SMB 命名管道或TCP Beacon的连接
指定IP地址或IP地址以及会话PID来断开特定Beacon的连接
beacon> help connect
Use: connect [目标]
connect [目标] [端口]
连接TCP Beacon并建立控制通道。所有对于TCP Beacon的命令请求都将通过当前Beacon会话
使用 "unlink" 命令来断开TCP Beacon
beacon> help cd
Use: cd [目录]
更改目标主机上的目录
beacon> help checkin
Use: checkin
强制DNS Beacon回连并更新状态,Beacon会上传其主机元数据及键盘记录信息
beacon> help clear
Use: clear
清空Beacon任务队列
beacon> help download
Use: download [file]
下载一个文件,可以到 视图->下载列表 中看到下载成功的文件列表
beacon> help shell
Use: shell [命令] [参数]
使用cmd.exe执行命令
beacon> help powershell
Use: powershell [cmdlet] [参数]
使用powershell执行命令
最后一次使用powershell-import导入的任何cmdlet也可以在这里使用
beacon> help powershell-import
Use: powershell-import [/本地绝对路径/script.ps1]
从本地导入一个powershell脚本,后续powershell/powerpick命令可以
调用该脚本中的cmdlet。一次只能使用一个导入脚本,再次导入会覆盖之前的脚本
beacon> help execute
Use: execute [程序] [参数]
执行程序,不会阻塞当前进程,也不会返回输出
beacon> help run
Use: run [程序] [参数]
执行程序,返回程序输出
beacon> help exit
Use: exit
终止当前beacon会话
beacon> help help
Use: help [命令]
显示命令帮助
beacon> help inject
Use: inject [pid] <x86|x64> [监听器]
打开 [pid] 指定的进程并注入运行从 [监听器] 生成的shellcode
beacon> help shinject
Use: shinject [pid] <x86|x64> [/本地绝对路径/my.bin]
打开 [pid] 指定的进程并注入运行本地shellcode文件
beacon> help shspawn
Use: shspawn <x86|x64> [/本地绝对路径/my.bin]
新建傀儡进程,并注入运行本地shellcode文件
beacon> help dllinject
Use: dllinject [pid] [/本地绝对路径/my.dll]
打开 [pid] 指定的进程并注入一个反射加载的本地DLL文件
beacon> help keylogger
Use: keylogger [pid] [x86|x64]
keylogger
将键盘记录器注入 [pid] 指定的进程
使用不带任何参数的 [keylogger] 命令会创建一个临时傀儡过程,并将键盘记录器注入其中
终止键盘记录:使用 [jobs] 命令查找任务ID,然后使用 [jobkill] 命令结束任务
beacon> help message
Use: message [消息]
给用户弹出一条消息,这是一个傻逼命令
beacon> help mode
Use: mode [dns|dns6|dns-txt]
设置Beacon的数据交换模式,仅对DNS Beacon有用
dns模式
--------
使用DNS A记录请求获取任务。如果不能使用TXT记录,则使用此选项与DNS通信
该模式将数据编码在DNS请求的hostname中进行传输
dns6模式
---------
使用DNS AAAA记录请求获取任务。如果不能使用TXT记录,则使用此选项与DNS通信
该模式将数据编码在DNS请求的hostname中进行传输
dns-txt模式
------------
使用DNS TXT记录请求获取任务。该通道每个请求携带189个字节,而DNS A记录请求
仅为4个字节,使用与其他DNS模式相同的技术发送数据
beacon> help socks
Use: socks [stop|port]
在指定端口上启动SOCKS4a代理服务器,该服务器将通过当前Beacon中继网络连接
使用 "socks stop" 命令停止SOCKS4a代理服务器
Beacon会话处于睡眠状态时,流量不会中继。 使用 "sleep" 命令更改睡眠时间以减少延迟
beacon> help sleep
Use: sleep [时间(秒)] <抖动>
更改Beacon回连的间隔睡眠时间。 使用 "sleep 0" 命令可强制Beacon每秒多次回连(实时交互)
指定一个抖动值(0-99)可以让Beacon随机更改其睡眠时间
beacon> help spawn
Use: spawn [x86|x64] [监听器]
spawn [监听器]
创建一个x86或x64傀儡进程,并注入运行从 [监听器] 生成的shellcode
beacon> help spawnto
Use: spawnto [x86|x64] [c:\目标上路径\whatever.exe]
设置Beacon创建傀儡进程时使用的可执行文件路径,必须指定完整路径
支持使用环境变量(例如%windir%\sysnative\rundll32.exe)
请勿直接使用 "%windir%\system32\",该路径会根据Beacon是x86还是x64而解析成不同的绝对路径
x64请使用 "%windir%\sysnative\"
x86请使用 "%windir%\syswow64\"
当WOW64不存在时,Beacon将会把 "%windir%\syswow64\" 映射到 system32
beacon> help upload
Use: upload [/本地绝对路径/file]
上传一个文件到目标机器
beac
没有合适的资源?快使用搜索试试~ 我知道了~
温馨提示
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。 Cobalt Strike 分为客户端组件和服务器组件。 服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形化界面
资源推荐
资源详情
资源评论
收起资源包目录
Cobalt_Strike_4.5.rar (22个子文件)
Cobalt_Strike_4.5
.DS_Store 6KB
vcruntime140d.dll 131KB
CSAgent.jar 773KB
cobaltstrike 273B
CobalStrike_start.vbs 79B
resources
bdetails.txt 27KB
bhelp.txt 5KB
translation.txt 24KB
读我.txt 652B
icon.jpg 94KB
start.sh 189B
TeamServer.prop 1KB
cobaltstrike.store 2KB
favicon.ico 264KB
plugin
ucrtbased.dll 1.75MB
cobaltstrike.jar 32.27MB
icon.ico 264KB
agscript 278B
teamserver.sh 2KB
c2lint 261B
teamserver 2KB
scripts
default.cna 34KB
共 22 条
- 1
资源评论
夏初春末_昊
- 粉丝: 2834
- 资源: 53
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功