Cobalt Strike系列教程第四章：文件/进程管理与键盘记录

Cobalt Strike系列教程分享如约而至，新关注的小伙伴可以先回顾一下前面的内容：

Cobalt Strike系列教程第一章：简介与安装

Cobalt Strike系列教程第二章：Beacon详解

Cobalt Strike系列教程第三章：菜单栏与视图

今天我们将继续分享Cobalt Strike系列教程的其他章节内容，希望对大家的学习有所帮助，快速提升实用技能。

文件/进程管理与键盘记录

文件管理

1、基础管理

选择一个会话，右键，目标-->文件管理

Upload为上传一个文件，Make Directory为创建文件夹，List Drives为列出盘符，refresh为刷新。

2、下载文件

需要使用文件管理功能，然后右键download。

点击菜单栏上方的文件下载按钮。

点击sync files，配置保存路径即可下载文件。

3、执行或删除文件

执行文件点击execute后会弹出一个窗口，要求你输入要执行程序的参数，这边按你的要求填写就行，不需要参数的话就不填。

进程管理

1、进入进程管理

选择一个beacon，右键，目标-->进程列表。

进程列表中，kill为关闭程序，refresh为刷新进程列表，inject则是把beacon注入进程，Log Keystrokes为键盘记录，Stea Token为窃取运行指定程序的用户令牌。

简单的功能就不赘述了，先讲一下进程注入(inject)，键盘记录(Log Keystrokes)。

2、进程注入

该功能可以把你的beacon会话注入到另外一个程序之中，注入后，即使你原来的后门进程被关闭，你依然可以手握目标机的权限。

选择进程，点击inject，随后选择监听器，点击choose，即可发现Cobaltstrike弹回了目标机的一个新会话，这个会话就是成功注入到某进程的beacon。

3、键盘记录

选择好进程后(可ctrl多选)，点击Log Keystrokes，然后再点击菜单栏上的“键盘记录”按钮。

如图，成功get到目标机的键盘记录。

端口扫描与Net View

端口扫描

右键一个beacon，选择目标-->端口扫描。

或在beacon中使用命令portscan [ip] 命令。

随后Cobaltstrike会自动识别目标机所在的内网ip段，可选择ARP，ICMP，none三种方式进行扫描，ports中填入你要扫描的端口。

扫描后的结果，会在beacon中输出，或可在目标视图中查看到：

Net View

选择一个beacon，右键，目标-->Net View，或在beacon中使用命令Net View。

如图，beacon中输出了Net View的信息。