cobaltstrike之execute-assembly内存加载—后渗透利用

番茄酱料

已于 2024-09-24 16:52:11 修改

阅读量765

点赞数 6

分类专栏：后渗透工具文章标签： windows 网络安全安全 c#

于 2024-09-24 16:35:05 首次发布

本文链接：https://blog.csdn.net/bring_coco/article/details/142492635

版权

通过execute-assembly内存加载来执行文件，从而避免后渗透中被杀毒软件静态报毒，使更多的工具能够继续利用，常见的方式有权限维持，代理上线等操作

远程bin文件加载

首先尝试远程加载bin文件
使用项目https://github.com/shanekhantaun9/SharpLoader
在vps上传一个
在这里插入图片描述
这个文件生成方法，使用rc4.py脚本进行加密

import sys


def rc4(data, key):
    keylen = len(key)
    s = list(range(256))
    j = 0
    for i in range(256):
        j = (j + s[i] + key[i % keylen]) % 256
        s

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

番茄酱料

关注关注

6
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

红队攻防之exe文件签名免杀

善恶终有报，天道好轮回；不信抬头看，苍天饶过谁

03-17

1104

达则兼善天下，穷则独善其身

渗透工具之CS4.0使用说明书

m0_59991869的博客

10-14

4972

CS4.0使用说明书目录安装使用运行监听器 listner 使用不同监听介绍木马生成后门钓鱼攻击邮件钓鱼功能上部选项栏下部工具栏 beacon的使用会话功能安装使用安装系统环境：需要java环境Oracle Java 1.8，Oracle Java 11 下载解压就可以使用使用首先要运行服务端，如果你有个外网的机器，可以把服务端运行于外网的机器上，也可以运行于本地服务端启动命令 windows 运行teamserver

参与评论您还未登录，请先登录后发表或查看评论

内网渗透神器CobaltStrike之execute-assembly(十三)

xf555er的博客

08-21

1613

"execute-assembly"是Cobalt Strike的一项功能，它允许你在Cobalt Strike的Beacon控制的目标机器上直接执行.NET程序集（Assembly）。具体来说，这个功能通过在目标机器的内存中加载.NET程序集并执行它，而不需要将程序集写入到磁盘。这种在内存中执行程序的方法也被称为"文件无（fileless）"攻击，因为它能避免在磁盘上留下可疑的文件，从而绕过某些基于文件扫描的防御手段。

Cobalt Strike一些简单免杀 payload

m0_58596609的博客

12-07

903

Cobalt Strike一些简单免杀 payload

Cobalt Strike使用教程一

热门推荐

迷风小白

10-24

7万+

0x00 简介 Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。 Cobalt Strike集...

Execute-Assembly（2）

星星我啊，已经很努力在学习了，有人一起学习吗？Ziansec-1

04-11

694

根据之前的Execute-Assembly的实现原理，可以预测到Execute-Assembly主要有3个检测点。第一个检测点是加载CLR环境，第二个检测点是加载程序集，第三个检测点在于执行入口点的地方。在我看来，第一第二个检测点是比较好实现的。

Cobalt Strike---（2）

cyynid的博客

03-10

1024

的团队服务器是行动期间收集的所有信息的中间商。解析来自它的 Beacon payload的输出，提取出目标、服务和凭据。如果你想导出 Cobalt Strike的数据，通过Reporting→。提供两种选项：把数据导出为 TSV或XML文件。客户端的导出数据功能会融合来自你当前连接的所有团队服务器的数据。目标你可以通过 View →Targets来与的目标的信息交互。这个标签页显示与目标表视图相同的信息。点击 Import来导入一个带有目标信息的文件。

CobaltStrike使用-第九篇-免杀

Love&Share

12-08

9254

本篇将会介绍CS payload免杀工具的使用文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件常规杀毒软件的目的就是发现已知病毒并中止删除它，而作为攻击者则需要对病毒文件进行免杀处理，从而使杀毒软件认为我们的文件是合法文件杀毒软件杀软常见扫描方式扫描压缩包技术：即是对压缩包案和封装文件作分析检查的技术。程序窜改防护：即是避免恶意程序借由删除杀.

InMemoryNET: 在Cobalt Strike中执行.NET内存分析

- Cobalt Strike是一款流行的攻击模拟和渗透测试工具，它提供了一个框架，用于执行复杂的攻击场景和模拟潜在的威胁行为。 - 在安全领域，研究人员经常使用Cobalt Strike来测试防御系统的有效性，以及进行恶意软件...

148.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon基础使用/脚本web传递/屏幕截图/端口扫描]

qwsn

03-19

3521

一、Cobalt Strike基本使用 1、Cobalt Strike简介 2、Cobalt Strike（CS）整体框架图二、Cobalt Strike简单使用 1、实验坏境 2、实验过程

【CS学习笔记】10、如何管理Payload载荷

TeamsSix 的 CSDN 空间

06-27

1038

0x00 前言到目前为止，已经学过了如何在有漏洞的目标上获取立足点的方法，接下来将继续学习后渗透相关的知识，这一节就来学习学习 beacon 的管理、会话传递等。 0x01 Beacon 的管理 Beacon 控制台在一个 Beacon 会话上右击 interact（交互）即可打开 Beacon 控制台，如果想对多个会话进行控制，也只需选中多个会话，执行相关功能即可。在 Beacon 的控制台中的输入与输出之间，是一个状态栏，状态栏上的信息分别是：目标 NetBIOS 名称、用户名、会话PID以及

weixin_43167326的博客

12-28

6368

Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。 Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，

Execute-Assembly攻守之道

最新发布

YJ_12340的博客

01-20

1117

1 加载CLR环境 2 获取程序域 3 装载程序集 4 执行程序集

【内网安全-CS】Cobalt Strike启动运行&上线方法&插件

12-19

1万+

【内网安全-CS】Cobalt Strike启动运行&上线方法&插件加载

简单的免杀流程，软件使用方法与一点思路（Cobalt-strike）

weixin_74182283的博客

04-04

2322

字面意思，就是恶意软件或者木马，通过对其进行修改，导致杀毒软件扫描时会默认这款恶意软件是个安全的软件，导致恶意软件成功上传到电脑。通常在渗透测试的过程中，想要进入别人内网，就需要通过一些木马或者一些程序上传至别人内网，从而得到对方内网的权限。正常情况下，linux内可能没啥杀毒软件，但windows系统下的杀毒软件就各种各样，而我们的木马刚传上去就会被杀掉，这时如果懂得如何去对上传的马做一个免杀，使其顺利通过防火墙就显得非常重要了。

Cobaltstrike学习（一）生成Listner和Payload

kang_12358的博客

07-10

2410

一、Listner（监听器） Listner(监听器):用于监控其他对象身上发生改变的事件和状态来进行响应的处理的设置，可以理解为：用来监控接受目标主机权限的一个设置。现在很多工具都有Listner的设置，例：msf、empire等。 1、创建Listner: Cobalt strike ==>Listner 我用的是3.14版本，里面内置了9个监听器。 beacon是cs内置的监听器，当我们在目标机器上成功执行Payload后，会...

cobaltstrike生成一个原生c，然后利用xor加密解密执行

qq_41683305的博客

02-24

1639

首先cobaltstrike生成一个原生c，我的是： /* length: 797 bytes */ unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c" "\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x...

Cobalt Strike使用教程——基础篇

Captain_RB的博客

06-10

2万+

本文主要介绍 **Cobalt Strike** 4.3 的基本功能及使用方法

payload免杀之msbuild利用

weixin_30883311的博客

09-19

385

0x00 前言红队必备技巧免杀之一，现在主要是.net4.0下实现。待我过几天有空实现一下.net2.0。 0x01 免杀过程利用cs生成c#的payload，如图所示：将paypload内容填充到里面， <Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer...