CS木马的几种上线方式总结

最新推荐文章于 2025-03-09 16:05:40 发布
最新推荐文章于 2025-03-09 16:05:40 发布
阅读量10w+ 收藏 70
点赞数 10
分类专栏: 其他 cobalt strike相关 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/109176632
版权

CATALOG

前言

CS上线方式还是有不少的,但是时间长不看容易忘记一部分,博客记录也比较分散导致找起来比较麻烦,因此写了这篇博客记录部分CS上线的相关知识点。

windows相关上线方式

1.利用mshta与wmic上线

不用powershell执行powershell脚本与xsl文件不落地上线

2.利用powershell上线

powershell下载文件与绕过执行策略与相关命令参数简述

3.利用msbuild上线

利用msbuild命令执行文件上线CS

4.远程加载宏木马

远程加载含有恶意代码的word模版文件上线CS

5.C#远程加载远程文件到本地执行

利用一个完全安全的C#文件下载远程木马到内存进行执行

6.利用regsvr32命令上线cs

利用regsvr32加载远程代码到本地执行(目前只能执行cmd命令)

7.Shellcode隐写到预期RGB免杀上线到CobaltStrike

使用powershell免杀上线CS的新方式—利用图片

linux相关上线方式

1.利用Cross2上线linux主机

cs实现上线linux主机与CrossC2的配置

免杀0到1--CS部署与上线类型
qq_37107430的博客
11-24 721
免杀就是反杀毒技术,主要是指让恶意软件(如病毒、木马、蠕虫等)能够躲避杀毒软件的检测。其目的是使恶意程序在目标系统上能够顺利运行,而不被杀毒软件发现和拦截。
【内网安全-CS】Cobalt Strike启动运行&上线方法&插件
qq_53058639的博客
01-27 2957
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
木马免杀之CS免杀与应用开发
最新发布
没有网络安全就没有国家安全
03-09 682
木马免杀之CobalStrike免杀与应用开发
安全攻防之BadUsb攻击之CS上线
wjwqp的专栏
05-28 1841
一、环境和准备 1.win7 X64系统 2.arduino Leonardo板子一块 3.cs4.4服务器(Linux已经启动CS并配置好监听器,本文不做讨论,感兴趣的自行百度) win7安装好Leonardo板子驱动,后显示结果如下 Com3端口,烧录时候会用到; HID编译工具,arduino-1.5.5-r2, 二、编译和上传代码到Leonardo板子 将Leonardo板子插入电脑,安装完驱动后选择好对应的板子和对应的Com口,如下...
cs通过生成Payload上线(Powershell的两种上线方式
久恙502的博客
01-14 1415
两种模式下的不同上线方法
USB攻击系列之BadUSB实现CS上线和反弹shell
wangluoanquan111的博客
08-25 614
我们发现BadUSB在linux和macos上不需要过免杀,但是无法通过windows上的杀软,于是有了以下的研究。BadUSB硬件和Arduino软件(https://www.arduino.cc/en/software)打开Arduino的ide工具,选择端口选中Arduino开发板编辑windows测试脚本,启动cmd命令行,实现whoami,编译上传随即成功执行whoami,基础的模拟键盘的操作,杀软是通过的,但是一旦有恶意行为,杀软会自动查杀并阻止。
【渗透测试】CS DNS上线(DoH隧道技术实践浅析)
SunnyCat
02-11 6202
Doh隧道技术实践和浅析
CS上线Linux--坑太多了
em.....
05-31 3389
CS上线Linux–坑太多了 文章目录CS上线Linux--坑太多了1.1 前期准备1.2 安装1.3 反弹shell 传统的Cs只能上线windows,而有时为了方便想将Linux主机上线Cs,这个时候就需要使用CrossC2插件 1.1 前期准备 #下载指定版本 https://github.com/gloxec/CrossC2/releases/tag/v2.2.4 我这里在Windows上展示,所以下的Windows 然后下载cna **下载地址:**https://github.com.
CobalStrike 4.0 生成后门几种方式 及 主机上线后基础操作
Ms08067安全实验室
01-22 2087
出品|MS08067实验室(www.ms08067.com)本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):步骤:Attacks—〉Pa...
Windows权限维持技术总结、复现_cs权限维持(1)
2401_84297035的博客
04-26 1081
利用 windows 开机启动项实现权限的维持,每次系统启动都可实现后门的执行,很不错的权限维持的方式影子账户,顾名思义就像影子一样,跟主体是一模一样的,通过建立影子账户,可以获得跟管理员一样的权限,它无法通过普通命令进行查询,只能在注册表中找到其详细信息。映像劫持,也叫重定向劫持。即想运行 A.exe,结果运行的是B.exe。在 Windows NT 架构的系统中,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。
在阿一网络安全学院练习红日靶场之通过MSF和CS上线PC机器
Ayixy的博客
06-11 438
直接去目标机器执行了一下木马,是可以上线的,也许真实场景可以想办法的钓鱼让目标主动点击。若目标机器无法出网,就得让同处于内网的跳板机,采取正向或者反向连接的方式进行上线了。已知开放了这些端口,且我们拥有域控密码信息,尝试另外一种上线方式,让跳板机。可以直接在跳板机上新建监听,然后转发上线,但生成的木马免杀有点难操作。没有拿下,这台机器开了防火墙,直接通过。进行内网信息收集,得知域控机器。,并设置定时任务运行,从而上线。进程上,无法成功,遂找了个。,但这样操作的前提是建立在。通过之前抓取的密码,建立。
阿一网络安全学院课代表教你如何快速隐藏CS
qq_69775412的博客
05-31 980
原版的CobaltStrike存在某些未授权访问漏洞,以及特征太过于明显,以至于很容易被C2检测器发现。本文记录了一些隐藏特征的方法,这些方法不涉及更改cs底层jar文件,适合小白(指自己)快速部署。本文目标:从流量、端口、访问页面等方面尽可能隐藏cs流量,运用cdn实现IP隐匿,同时实现linuxC2通讯功能。
Cobalt Strike入门教程-通过exe木马实现远控
weixin_30770495的博客
05-18 5285
Cobalt Strike(简称CS)有很多功能,这篇文章主要介绍最基本的功能:通过exe木马实现远程控制。 CS分为两部分:客户端和Team Server服务端。这两部分都依赖Java 1.8,所以运行CS程序前要安装JRE。 分享一个Cobalt Strike v3.8的试用版,可长期试用。百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4Hs...
【内网安全】——CS操作指南(一)
qq_53058639的博客
01-26 459
作者名:白昼安全主页面链接:创作初心: 一切为了她座右铭: 不要让时代的悲哀成为你的悲哀专研方向: web安全,后渗透技术每日emo: 再让我多赚一点——《血战网安岭》!CS 是CobaltStrike的简称,是一款神器,常被业界人称为CS神器。CobaltStrike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
CS突然上线了一些国外主机 不要怕
qq_26692927的博客
11-25 733
事件: 在和朋友A吹逼的过程中,他说他的cs突然上线了几个国外的主机,吓得够呛。我就问他的cs来源是哪里,他说是hVV的时候拿到的。我想应该没问题呀。 然后我就去问了问大佬朋友B,朋友B说可能是一些云沙箱例如微步在线。 这个时候朋友A又发过来了上线主机的【】屏幕情况: 结果 然后和朋友A 经过交谈得知还真的是把cs木马传到了查杀网站在尝试免杀。 ...
文件cs上线主机及攻击使用ping工具
weixin_51387754的博客
05-05 604
Hancitor’s Use of Cobalt Strike and a Noisy Network Ping Tool 执行摘要 Hancitor是一种信息窃取程序和恶意软件下载程序,被指定为MAN1,Moskalvzapoe或TA511的威胁参与者使用。在2018年的威胁简介中,我们指出Hancitor相对不成熟,但在未来数年中仍将是威胁。大约三年后,Hancitor仍然是一种威胁,并且已经演变为使用Cobalt Strike之类的工具。最近几个月,该参与者开始使用网络ping工具来帮助枚举受感染主机
网络安全最新XSS漏洞(CS
WANGJUNAIJIAO的博客
07-10 270
由于我们的这个payload有点长,而原有的fakesubmit的rsa.encrypt加密函数最多加密117字节,所以会报错,然后我简单的改了下脚本,如下图所示需要自己对照改。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
实战微信远程代码执行上线CS
善恶终有报,天道好轮回;不信抬头看,苍天饶过谁
06-06 461
安能有术无道有道无心,乐得仁心仁义正心行道。
微信上线cs复现
sun_k的博客
04-20 720
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一:漏洞描述 此次微信漏洞由于内置浏览器使用google生态导致,漏洞利用简单,危害性级别高,攻击者向用户在微信上发送一条经过精心构造的恶意链接,PC 版用户只要点击后,shellcode(恶意代码的一种)即会启动,用户的电脑可被完全控制,造成信息泄露、木马中毒等后果。 二: 漏洞影响 根据腾讯安全中心的公告,这是因为 chrome 浏览
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值