文章总结： 本文详细介绍了CobaltStrike4.4的安装过程和基本使用方法，包括在CentOS7和Windows10攻击机上部署服务端和客户端，配置监听器，生成后门程序，并通过VMwareTools将后门投放至Windows7靶机使其上线。文章还演示了如何使用CobaltStrike的屏幕截图功能，并强调了该工具只能在获得明确授权的合法安全测试场景中使用，警示使用者避免工具被恶意滥用。 综合评分： 85 文章分类： 红队,渗透测试,内网渗透,安全工具,WEB安全

Cobalt Strike安装及基本用法

原创

dcnb

Web安全基础与实践

2025年12月12日 20:02 广东

Cobalt Strike 是一款用于红队演练与网络攻击模拟的渗透测试工具

Cobalt Strike 提供一套完整的攻击套件，支持团队协作模式，允许安全测试人员模拟高级持续性威胁（APT）攻击。用户能够利用其提供的多种功能，包括生成恶意 payload、进行社会工程学攻击、横向移动、权限提升和数据渗出等，从而模拟真实网络攻击场景，评估目标网络的防御能力与安全防护体系的有效性。

1、安装

本次测试使用的软件版本为Cobalt Strike4.4（后续简写为cs）。

下载链接（https://pan.baidu.com/s/1Bbxsly8tK7wgxftFZmfApA?pwd=mr7x）本次测试需要三台虚拟机：一台CentOS7攻击机作为cs的服务端，一台Windows10攻击机作为cs的客户端，另一台Windows7作为靶机。

下载完成后，第一步在Win10攻击机上选择一个合适的文件位置解压cs压缩包，如图1所示。

图1  Cobalt Strike解压示例

第二步，在CentOS7攻击机上也部署同样的cs文件夹，在这里我们使用Xshell和Xftp进行文件的传输，如图2所示。

图2  CentOS7里的Cobalt Strike

完成上述两步操作后，Cs4.4的安装步骤就已经完成。

2、启用Cobalt Strike服务

首先我们需要得知自己的CentOS7攻击机的ip地址，操作很简单，只需在命令行窗口输入ip addr即可查看ip地址，如图3所示。

图3  服务端查看ip

需要注意的一点是：如果你使用了如锐捷客户端等类似的软件，后台运行的子程序会将后台的VMware NAT Service服务关闭，导致你的虚拟机无法联网，此时只需关闭锐捷的一切服务，然后手动启动NAT服务即可，如图4所示。

图4  计算机管理页面

记住我们服务端的ip地址为192.168.1.103，然后去命令行启动cs服务端。

在命令行里打开cs4.4文件夹，如图5所示。

图5  服务端中打开cs文件夹

输入./teamserver ip 密码（回车）即可启动cs服务端，如图6所示。

图6  启动cs服务端

注意：权限不够是无法启动team server的，出现如图7提示即服务端启用成功，启用端口为50050。如果权限不够，使用chmod 777 teamserver来提升指令权限。启用teamserver服务需要java，如果未安装java可以使用如下指令下载安装：sudo yum install java-1.8.0-openjdk java-1.8.0-openjdk-devel -y。

下面我们就可以启动Win10攻击机上的cs客户端了。还记得之前提到的cobaltstrike.bat文件吗？此时去cs4.4文件夹双击它即可启动服务端，如图7所示。

图7  文件夹启动cs客户端

双击后会出现如下连接提示框，如图8所示。

图8  Cobalt Strike连接提示框

输入之前记住的ip地址和端口，还有自己设置的密码，再点击连接，就会出现如下图的客户端。如果你完成了上述所有操作，那么你的前置工作就准备好了，客户端和服务端都已启用，如图9所示。

图9  Cobalt Strike客户端视图

3、使靶机上线客户端并进行屏幕截图操作

3.1 部署监听器

在cs客户端点击左上角Cobalt Strike按钮，再点击监听器，如图10所示。

图10  Cobalt Strike客户端部署监听器

出现以下窗口，再点击添加，如图11所示。

图11  Cobalt Strike客户端添加监听器

点击后出现新建监听器窗口，如图12所示。

图12  Cobalt Strike创建监听器

HTTP地址就是我们服务端的ip地址，上线端口只要不发生冲突任意端口即可，然后点击下面的保存，如图13所示。

图13  Cobalt Strike保存监听器

3.2 生成后门

部署完监听后，我们需要选择合适的后门进行入侵靶机，由于靶机是win7 x86，我们可以选择.exe可执行文件作为我们的后门入侵靶机。

下面我们开始生成后门。

点击cs客户端左上角的攻击，选择生成后门，再选择Windows可执行程序，如图14和图15所示。

图14  Cobalt Strike生成.exe后门

图15  Cobalt Strike生成.exe后门

然后点击生成，给后门选择保存路径，推荐桌面，方便删除和拖入，如图16所示。注意：生成的木马可能会被系统的安全管家拦截，此时我们只需要允许文件存在即可。

图16  攻击机上后门的位置

不要在主机打开它，如果不小心打开在任务管理器里关闭，不关闭的话是会一直存在在后台，无法删除。

3.3 投放后门

下面我们启动win7靶机。

那么我们如何把后门投放到win7靶机里并让他执行呢？

下面我们采用最简单的方式投放。

VMware里有个工具叫VMwareTools，允许我们直接将文件复制粘贴至虚拟机。

下面我们直接将桌面的后门文件复制粘贴至靶机，那么你的后门就投放完成了，如图17所示。

图17  将.exe后门粘贴至靶机

3.4 上线

木马投放完成后，只需靶机双击执行我们的后门程序即可上线。

下面我们在靶机上双击或者右键执行后门程序，在cs客户端上我们发现靶机已上线，如图18所示。

图18  靶机上线客户端

如果你的cs客户端出现了靶机，那么你成功入侵了靶机，可以对靶机进行后续的一系列操作了。

3.5 屏幕截图功能

下面我们进行最简单的功能演示：屏幕截图（即截图靶机画面并发送给客户端）。

在进行任何攻击之前，我们都要在客户端设置一个叫做回连间隔的功能（即你的代码几秒过后执行，执行太快会在攻击时更容易被发现）。在客户端右键靶机，选择会话操作，选择回连间隔，默认值是60s，为了演示方便，我们选择5s，如图19和图20所示。

图19  客户端设置回连间隔

图20  客户端设置回连间隔

点击ok完成设置。

下面我们开始屏幕截图操作。

客户端右键靶机，选择浏览探测，选择屏幕截图，即可对靶机完成屏幕截图（如果靶机弹出威胁防护，允许即可）。

再点击左上角视图，选择屏幕截图，即可查看刚刚发送过来的屏幕截图，如图21所示。

图21  客户端查看屏幕截图

屏幕截图操作完成。除此之外，我们还可以完成文件浏览、桌面交互等其余操作，可供同学们自行摸索。

4、警示

Cobalt Strike 作为功能强大的渗透测试工具，其插件生态进一步拓展了攻击模拟的场景覆盖能力，例如部分插件可强化隐蔽通信、自动化漏洞利用流程或优化横向移动效率，但这些能力始终只能服务于合法合规的安全测试场景——必须在获得目标系统所有者明确、书面授权的前提下，用于企业内部安全自查、红蓝对抗演练或经官方备案的网络安全评估项目。

同时，需警惕工具被恶意滥用的风险：切勿向未核实身份的人员分享工具及插件，也不要在非安全环境中存储、传输相关文件，避免工具流入非法渠道成为网络犯罪的帮凶。作为技术使用者，应始终牢记“技术是双刃剑”，将工具能力限定在合法框架内，以保护网络安全为目标，而非破坏网络秩序，这既是对他人权益的尊重，也是对自身技术生涯的负责。

本文由钱雷阳同学投稿。

• END –

查看原文：《Cobalt Strike安装及基本用法》