本文大表哥将
Cobalt Strike的控制台命令进行了汇总,并解释相关的含义。对于Cobalt Strike的玩法,可以参考我前面几期的文章,希望本文对你的学习有所帮助。
| 命令 | 含义 |
|---|---|
| browserpivot | 向浏览器注入进程 |
| bypassuac | 绕过目标UAC |
| cancel | 取消当前的下载 |
| cd | 切换目录 |
| checkin | 强制重新连接 |
| clear | 清除任务队列 |
| covertvpn | 部署VPN客户端 |
| cp | 复制文件 |
| dcsync | 提取密码哈希 |
| desktop | 远程桌面 |
| dllinject | 反射DLL注入进程 |
| dllload | 使用LoadLibrary将DLL加载到进程中 |
| download | 下载文件 |
| downloads | 列出正在进行的文件 |
| drives | 列出盘符 |
| elevate | 尝试提权 |
| execute | 在目标上执行程序 |
| execute-assembly | 在目标上内存中执行本地.NET程序 |
| exit | 退出 |
| getprivs | 对当前令牌启动系统权限 |
| getsystem | 尝试获管理员权限 |
| getuid | 获取用户ID |
| hashdump | 转储密码哈希值 |
| help | 帮助 |
| inject | 在特定进程中生成会话 |
| jobkill | 杀死后台任务 |
| jobs | 列出后台任务 |
| kerberos_ccache_use | 从cache文件中导入票据应用于此会话 |
| kerberos_ticket_purge | 清除当前会话的票据 |
| kerberos_ticket_use | 从ticket文件中导入票据应用于此会话 |
| keylogger | 键盘记录 |
| kill | 结束进程 |
| link | 连接到指定管道的 Beacon 对等互连 |
| logonpasswords | 使用mimikatz转储凭据和哈希值 |
| ls | 列出文件 |
| make_token | 创建令牌以传递凭据 |
| mimikatz | 运行mimikatz |
| mkdir | 新建一个目录 |
| mode dns | 使用DNS A作为通信通道 |
| mode dns-txt | 使用DNS TXT作为通信通道 |
| mode dns6 | 使用DNS AAAA作为通信通道 |
| mode http | 使用HTTP作为通信通道 |
| mv | 移动文件 |
| net | net命令 |
| note | 备注 |
| portscan | 调用nmap进行端口扫描 |
| powerpick | 通过Unmanaged PowerShell执行命令 |
| powershell | 通过powershell.exe执行命令 |
| powershell-import | 导入powershell脚本 |
| ppid | 为重当前会话设置父 PID |
| ps | 显示进程列表 |
| psexec | 使用服务在主机上生成评估 |
| psexec_psh | 使用强力外壳在主机上生成评估 |
| psinject | 在特定进程中执行PowerShell命令 |
| pth | 使用Mimikatz进行传递哈希 |
| pwd | 返回当前目录位置 |
| reg | 当前注册表 |
| rev2self | 恢复原始令牌 |
| rm | 删除文件或文件夹 |
| rportfwd | 端口转发 |
| run | 在目标上执行程序(返回输出) |
| runas | 以另一个用户权限执行程序 |
| runasadmin | 在高权限下执行程序 |
| runu | 运行指定PID |
| screenshot | 屏幕截图 |
| setenv | 设置环境变量 |
| shell | cmd执行命令 |
| shinject | 将shellcode注入进程 |
| shspawn | 生成进程并将shellcode注入其中 |
| sleep | 设置睡眠延迟时间 |
| socks | 启动SOCKS4代理 |
| socks stop | 停止SOCKS4 |
| spawn | 生成会话 |
| spawnas | 給另一个用户生成会话 |
| spawnto | 生成可执行进程 |
| spawnu | 当前会话跳转指定 PID |
| ssh | 使用ssh连接远程主机 |
| ssh-key | 使用密钥连接远程主机 |
| steal_token | 从进程中窃取令牌 |
| timestomp | 将一个文件时间戳应用到另一个文件 |
| unlink | 断开与目标的连接 |
| upload | 上传文件 |
| wdigest | 使用mimikatz转储明文凭据 |
| winrm | 使用WinRM在主机上生成会话 |
| wmi | 使用WMI在主机上生成会话 |
| argue | 进程参数欺骗 |
更多精彩教程 欢迎关注我们