捆绑后门的艺术--CobaltStrike backdoor分析

最新推荐文章于 2023-07-21 17:09:03 发布
最新推荐文章于 2023-07-21 17:09:03 发布
阅读量2k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/98636981
版权

CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。

1. 后门制作

制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP和端口号,点击save,就可完成创建。选择端口时,可以使用一些较少为使用的协议端口,好伪装,如下选择的2333端口,是snapp协议的端口。PHP大马

捆绑后门的艺术--CobaltStrike backdoor分析

接下来,就可以制作捆绑型的后门,点击 攻击->package->Windows Dropper,填上待捆绑的文件(这里使用flash下载器),完成!天天好彩

捆绑后门的艺术--CobaltStrike backdoor分析

生成的捆绑后门有个缺陷,就是图标不是原文件的图标,

最低0.47元/天 解锁文章
systemino
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cobalt Strike (CS) 逆向初探
悦分享
08-03 694
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3125
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
CobaltStrike之Beacon命令使用
Longwaer
02-11 1208
学习掌握CobaltStrike的基础命令,更好的在渗透测试中使用。
网络攻防作业——学习使用cobaltStrike
yyy7654321的博客
06-28 960
生成Windows下可执行木马(一个有英语版的图,一个中文版的),放在指定的地方。在放在window系统的电脑中运行软件,在弹出阻止消息的时候点击信任运行。3.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享下载该后门,运行后门上线。2.利用Cobaltstrike生成攻击后门,并通过2种网络共享下载该后门,运行后门上线;1.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享。实验工具:VMware,edge,cs。1.登录cs,并生成后面放在指定路径。
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Apache-HTTP-Server-Module-Backdoor:用C语言编写的Apache HTTP服务器的后门程序
05-16
root@kali:~/backdoor# apxs -i -a -c mod_backdoor.c && service apache2 restart /usr/share/apr-1.0/build/libtool --mode=compile --tag=disable-static x86_64-linux-gnu-gcc -prefer-pic -pipe -g -O2 -...
input-aware-backdoor-attack-release:输入感知的动态后门攻击(NeurIPS 2020)
05-02
输入感知的动态后门攻击是一种通用的后门攻击方法,它打破了当前后门防御方法的一般假设:后门触发器的通用性和唯一性。 这是PyTorch中NeurIPS 2020论文“ 的实现。 培训和评估代码。 本文使用的防御实验。 ...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本
最新发布
01-22
标题 "PHPStudy-BackDoor-EXP PHPstudy后门利用脚本" 涉及到的是一个针对PHPStudy软件的安全问题,即PHPStudy后门利用。PHPStudy是一款集成环境的工具,广泛用于PHP开发者的本地开发环境搭建。然而,如同任何其他...
SeayFindShell( linux-python-killwebshell.zip_backdoor_cleariwf_m
09-15
它采用多种签名匹配和行为分析方法,能够识别出多种常见的Web后门脚本,如中国菜刀、小马等。 2. **深度扫描**:不仅检查已知的Webshell,还能够对未知的可疑文件进行深度分析,例如检查文件的执行权限、编码方式、...
POC-10-minute-RDP-backdoor:PowershellPHP
05-17
POC十分钟RDP后门 Powershell的/ PHP的
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 4647
cobalt strike流量特征分析
153.网络安全渗透测试—[Cobalt Strike系列]—[生成hta/exe/宏后门]
qwsn
03-25 2485
一、后门简介 1、hta后门 2、exe后门 3、宏病毒后门 二、生成后门并测试 1、生成HTA后门并测试 2、生成exe后门并测试 3、生成宏病毒后门并测试
cobaltstrike安装_Cobaltstrike系列教程(十三)控制持久化
weixin_39964833的博客
11-30 961
0x001-右键菜单实现控制持久化在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。目前常见的手法有:1.注册表2.启动项3.计时任务4.设置服务5.shift后门6.dll劫持(白加黑)7.利用其他安装的软件在之前给出的插件中,已经包含了控制持久化的插件如图,里面包含了很多控制持久化的方法,可自动执行前几个Persist(※)貌似都是劫持关键程序的dll实现控制持久化...
远控免杀从入门到实践(2)工具总结篇
weixin_46236101的博客
03-13 2479
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实.
Cobalt Strike 可持续后门的使用(子篇9)
yyj1781572的博客
11-23 645
Cobalt Strike 可持续后门的使用
CobaltStrike二次开发环境准备以及免杀
r250414958的博客
05-08 7108
文章目录前言一、环境二、过程1.注册Idea2.原版CobaltStrike3.开始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结 前言 原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。 一、环境 win7_x64 jdk-11.0.14 Idea.2
Cobalt Strike从入门到精通之定制配置文件进行高级攻击
风炫的博客
02-22 974
在线视频地址 Cobalt Strike的配置文件讲解 简介 Beacon是Cobalt Strike为高级攻击者建模的Payload。使用Beacon通过HTTP,HTTPS或DNS出口网络。而且Beacon非常灵活,支持异步和交互式通信。异步通信既低又慢。Beacon将通讯本地,下载任务,然后进入睡眠状态。交互式通信实时发生。 cobalt Strike 的Beacon(信标)的一些Http特征信息可以由C2配置文件进行修改和定制化,所以可定制的C2配置文件可以指定服务端如何发送,接受数据的规律和格式,
Cobaltstrike系列教程(十三)控制持久化
J0o1ey Blog
01-19 5435
0x000-前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 群号820783253 0x001-右键菜单实现控制持久化 在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。 目前常见的手法有: 1.注册表 2.启动项 3.计时任务 4.设置服务 5.shift后门 6.dll劫持(白加黑) 7.利用其他安装的软件 ...
CobaltStrike(钓鱼攻击工具)
F2444790591的博客
02-10 4043
一、介绍 (1)Cobalt Strike是一款渗透测试软件,分为客户端与服务端,可以进行团队分布式操作,服务端:1个,客户端:N个。 (2)Cobalt Strike集成了功能和模块:端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成。 二、使用(Cobaltstrike4.0) 1、Cobaltstrike 服务端的启动。 (1)开启Cobalt............
kali linux权限维持,权限维持篇-NC后门
06-02
其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在Kali Linux中创建NC后门的步骤: 1. 在Kali Linux中打开终端,并输入以下命令来生成一个反向Shell:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值