CobaltStrike攻击用到的二进制文件

最新推荐文章于 2024-02-23 08:00:47 发布
最新推荐文章于 2024-02-23 08:00:47 发布
阅读量323 收藏
点赞数
分类专栏: Windows病毒分析 Windows逆向 文章标签: c# python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/119895239
版权

Attack

HTML Application Attack

Cobalt Strike 是 Raphael Mudge 在 2012 年创建的渗透测试工具。简称CS。 时至今日,它仍然在红队活动中非常流行,并被威胁参与者用于恶意目的。Cobalt Strike 因其广泛的部署选项、易用性、避免被安全产品检测的能力以及它拥有的功能数量而广受欢迎。正是出于这些原因,威胁行为者也喜欢 Cobalt Strike。由于 Cobalt Strike 被一系列黑客广泛使用,其缺乏排他性使得归因更加困难。由于 Cobalt Strike 拥有各种防御规避技术,公司仍然难以发现它。本文所说是指CS4.3版本。
在这里插入图片描述

生成的是一个hta文件。运行后启动powershell,执行一大坨base64编码的代码。
在这里插入图片描述

第一段解密之后的powershe

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Cobalt Strike (CS) 逆向初探
悦分享
08-03 665
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
Cobalt Strike中各种攻击脚本
2ed
08-18 4387
cs攻击脚本位于Attacks中 packages模块 HTML Application 生成恶意的HTA木马文件; MS Office Macro 生成office宏病毒文件; Payload Generator 生成各种语言版本的payload; USB/CD AutoPlay 生成利用自动播放运行的木马文件Windows Dropper 捆绑器,能够对文档类进行捆绑;...
CobaltStrike基础使用详解
weixin_53747497的博客
04-17 3276
Cobalt Strike(简称为CS)是一款团队作战渗透测试神器,是一种可以用来进行横 向移动、数据窃取、鱼叉式钓鱼的后渗透工具,分为客户端和服务端,一个客户端可 以连接多个服务端,一个服务端也可以对应多个客户端连接。Connect to team server:连接服务端Disonnect from team server:断开当前服务端连接Configure Listeners:配置监听器Show sessions in graph view:展示会话列表。
DoS、DDoS工具Cobalt Strike
songbai220
12-11 551
Cobalt Strike 简介 Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。 Cobalt Strike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内
Cobalt Strike使用hanzolnjection的免杀
Blue的博客
08-31 609
使用hanzolnjection的免杀 一、介绍: Hanzoinjection介绍 对于免杀,我们也可以使用cs生成一个二进制格式的payload,也就是raw格式,运行时我们需要借助hanzolnjection , HanzoIjection 是一种工具,专注于在内存中注入任意代码。 地址:https://github.com/P0cL4bs/hanzoInjection 命令解析: -e 跟上生成的bin文件即可 -p -o 输出的位置/名字 -h 帮助 二、安装 1.首先在wi...
逆向分析Cobalt Strike安装后门
最新发布
pandazhengzheng的博客
02-23 1235
逆向分析Cobalt Strike安装后门
Binary Viewer二进制文件读取软件
07-10
Binary Viewer二进制文件读取软件,可读取二进制的语音数据,图像数据,从而分析音频或者图像存储的二进制信息
LabVIEW的写入二进制文件
01-19
“写入二进制文件”位于函数选板的“编程→文件I/O一写入二进制文件”,图标和接线端如图1所示。  输入和输出接线端的说明如下。  prepend arrav Or string slze?:预置数组或字符串大小,指定是否包含写入...
Labview中对于二进制文件的读写
05-05
包含了一些展示软件,涉及Labview中对于二进制文件的读写
C#读取二进制文件方法分析
12-26
本文较为详细的分析了C#读取二进制文件方法。分享给大家供大家参考。具体分析如下: 当想到所有文件都转换为 XML时,确实是一件好事。但是,这并非事实。仍旧还有大量的文件格式不是XML,甚至也不是ASCII。二进制...
查看二进制文件的常用软件
04-18
查看二进制文件的常用软件
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
无心的博客
01-14 261
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike密码爆破、伪造上线以及DDos——csIntruder
weixin_43526443的博客
03-08 2000
本项目包含CobaltStrike密码爆破、伪造上线以及DDos功能。其中伪造上线支持常见魔改版CS。
CobaltStrike视频教程
binjiao4449的博客
08-06 459
课程大纲第一章:介绍与安装介绍与安装第二章:payload 应用创建监听及生成 payloadoffice 宏 payload 应用https payload 应用搜集目标基本信息网页挂马应用钓鱼页面应用批量发送钓鱼邮件第三章:免杀应用使用 c# 免杀使用 powershell 免杀使用 hanzoInjection 免杀使用 veil 免杀第四章:内网***应用beacon...
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1632
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后
Cobalt Strike 4.0-渗透攻击-First day
qq_34801745的博客
10-30 4286
** Cobalt Strike 4.0-渗透攻击-First day(dayu) ** 作者:大余 时间:2020-10-30 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何文章中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能
初次使用cobalt strike渗透的一些心得
weixin_43553654的博客
04-23 2174
0x01 在使用cobalt strike(之后简称为cs)之前你需要先得到靶机的权限如下图,你需要通过利用各种漏洞来取得shell权限,这里就是通过文件上传传入了一个一句话木马,再通过菜刀连接靶机后你就获得了这个靶机的shell权限,就awd比赛来说这样就足够你get flag拿分了,但对于渗透来说还不够 在这里我用我的我的windows虚拟机为例,首先你需要保证靶机和vps,主机三者之间网络...
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 4651
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
Cobaltstrike系列教程(二)Listner与Payload生成
热门推荐
J0o1ey Blog
08-01 1万+
0x000-前文 Cobaltstrike系列教程(一)简介与安装 https://bbs.ichunqiu.com/thread-52937-1-1.html PS:原本想完成日更目标的,但昨天在研究无线,就没更,今天加班~ 0x001-Listner(监听器)介绍 ①Cobaltstrike listner简介 可能有一些小白并不理解什么叫做listner,在此科普一下。 Listner(监...
如何以二进制形式查看二进制文件
06-06
想要以二进制形式查看二进制文件,可以使用操作系统自带的二进制编辑器或者命令行工具来实现。下面以 Windows 和 Linux 操作系统为例,介绍如何以二进制形式查看二进制文件。 在 Windows 操作系统中,可以使用自带的 hex 编辑器打开二进制文件。具体步骤如下: 1. 打开文件资源管理器,找到要查看的二进制文件。 2. 右键点击二进制文件,选择 "打开方式" -> "记事本"。 3. 在记事本中,点击 "文件" -> "另存为"。 4. 在 "另存为类型" 中选择 "所有文件",并将文件名后缀改为 ".hex"。 5. 保存文件后,再次右键点击文件,选择 "打开方式" -> "记事本"。 6. 在记事本中,点击 "格式" -> "十六进制",即可以二进制形式查看二进制文件。 在 Linux 操作系统中,可以使用 hexdump 命令或 xxd 命令来查看二进制文件。具体命令如下: ```bash # 使用 hexdump 命令查看二进制文件 hexdump -C filename.bin # 使用 xxd 命令查看二进制文件 xxd filename.bin ``` 执行以上命令后,会在终端中以十六进制格式显示二进制文件的内容。例如: ``` 00000000: 50 4b 03 04 0a 00 00 00 00 00 8c 21 2c 2f 00 00 PK........!,/.. 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 14 00 00 00 ................ ... ``` 需要注意的是,以上方式仅供参考,具体实现方式取决于具体的需求和使用的操作系统或命令行工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值