Cobalt-Strike Office宏利用与免杀

最新推荐文章于 2024-06-02 13:13:06 发布
最新推荐文章于 2024-06-02 13:13:06 发布
阅读量1.6k 收藏 4
点赞数
原文链接:https://www.cnblogs.com/Tianwenfeigong/p/14715525.html
版权
1.打开Cobalt-Strike生产Office宏病毒。
首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。
然后使用攻击模块,生产Office宏病毒。
设置好监听器。
生成宏病毒
2.将宏病毒放入word
首先打开Word,在审阅中编辑宏:
创建新的宏:
将生成的宏病毒放入Microsoft Word目录下的ThisDocument,注意如果宏位置写错了很容易报错。
按下Ctrl+S,将文件保存为启用宏的Word文档,注意这里的作者需要修改,否则默认会使用账户名
此时带宏病毒的Word文件已经生成,但是会发现过不了杀软,需要进行免杀。
 
此时需要一款比较知名的免杀软件:EvilClippy
最新版本的:https://github.com/outflanknl/EvilClippy/releases/tag/v1.3
软件需要编译运行,由于本人使用的是Linux环境进行免杀,所以命令如下:
首先需要有mono环境:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF
echo "deb http://download.mono-project.com/repo/debian wheezy main" | sudo tee /etc/apt/sources.list.d/mono-xamarin.list
sudo apt-get update
sudo apt-get install mono-completesudo 
apt-get install monodevelop
然后使用mono,进行编译:
mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs
检查免杀软件是否可以正常运行:
mono EvilClippy.exe -h
然后进行免杀操作:
首先需要创建一个vba文件,后续需要进行混淆,vba内容如下
Sub Hello()
Dim X
X=MsgBox("Hello VBS")
#先使用一个模块来设置随机模块名,混淆了一些分析工具,会生成一个以_EvilClippy.docm结尾的文件。
mono EvilClippy.exe -r Doc1.docm
#其次使用之前设置的vba文件对生成文件进行伪装混淆,命令如下
mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm
生成文件,放入沙箱进行查杀,效果如下:
过了国内大部分杀软。

因此将文件发给别人就可以观察到Cobalt-Strike有上线 主机了。

 
 
分发吧
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cobolt strike 制作word文件
weixin_55347427的博客
08-29 221
cobalt strick 制作word
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 6969
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
Cobalt_Strike(CS)渗透工具安装使用到免杀上线
最新发布
qq_47289634的博客
06-02 415
接着写一段C代码,对加密后的shellcode进行解密并执行,注意后缀是.c,不是.cpp它们是不一样的。把生成的exe文件放到虚拟机执行之后一样上线,这样要注意把加密后的shellcode也要放入虚拟机。上面代码运行之后会在当前文件夹下生成一个bin文件,记住这个文件的位置,这里我把它放到了E盘下面。记得关闭杀软,不然会被删,把生成的exe文件放到目标主机双击,即可上线cs。vt过60,一大半了,对于刚接触免杀的我来说,已经不错了。这里代码有很多是我方便调试写的,可以去掉那些打印的。
CobaltStrike二次开发环境准备以及免杀
r250414958的博客
05-08 6903
文章目录前言一、环境二、过程1.注册Idea2.原版CobaltStrike3.开始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结 前言 原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。 一、环境 win7_x64 jdk-11.0.14 Idea.2
利用MHT类型,免杀病毒
Sven的忘却日记
03-04 1934
首先使用Word创建一个利用代码弹MsgBox的样本,如下图: 保存内容后,另存为MHT格式文件 文件内容如下: 此时,再使用一些常用的ole分析工具,就识别不了这个类型了,比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据 正常的word文档,使用7z查看 问题就在,如过把刚刚的2.mht 改成2.doc,完全不影响执行 ...
免杀】————3、Excel 和 Metasploit 和 免杀
Fly_鹏程万里
03-07 929
这篇文章主要介绍以Excel文件为载体,生成meterpreter反向shell的不同方法。 简介 这篇文章会继续讨论反向shell和规避杀毒软件的方法。有兴趣的可以看我的前一篇文章。随着时间飞逝,以前一些很好的绕过杀毒软件的方法现在均已失效。所以,我必须找到一种新的方法来隐藏我的反向shell。让我们开始吧…… …古老而简单的方法可能是最好的… 通过SMB_Deliver开启一个me...
office钓鱼免杀的制作
swordheart的博客
08-04 2839
office钓鱼免杀的制作 由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种杀软,edr,防御手段层出不穷,不会免杀真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office进行免杀处理,红队小菜鸡,还望大佬带飞。 通过cobalt strike生成payload 1.通过cs生成office木马 2.点击 copy macro 复制生成的代码 3.新建一个文档,点击 “开发工具 — Visual Basic” 4.双击 “ThisDocument” ,将原有
taowu-cobalt-strike-3.0
01-08
Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office病毒生成,木马捆绑;钓鱼攻击...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Cobalt-Strike-4.5
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
cobalt-strike.pdf
08-23
cobalt-strike.pdf cobalt-strike 使用手册,官方教程
过360云查杀工具(免杀工具)
03-14
过360云查杀工具 点击后自动隐藏 有可能被杀软防火墙误报病毒木马 请关闭杀软防火墙后重试 给大家分享下 密码 123
Office病毒Virus.MSExcel.Agent.f的查杀方法
weixin_34187822的博客
12-03 472
办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装; 2、打开360杀毒的右上角的设置按钮,将设置中“病毒扫描设置中需要扫描的文件类型,改为扫描所有文件”;将“多引擎设置中常规反病毒引擎,设为bitdefender”,点击确定。 3.点击升级为最新病毒库; 4、然后点击病毒扫描中的“OFFICE病毒”,开始杀毒,就能够发现被感染的文件,点击处理,...
Cobaltstrike Office病毒利用
LuckySec
02-22 1073
0x01 概述 是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成,当在工作时,就可以直接利用事先编好的自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。 计算机里面的叫做Macro,是一种批量批处理的称谓。Word中对定义为:“就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Microsof
CobaltStrike 生成office病毒进行钓鱼攻击
good good study
02-25 2970
简单来说WORD可以让用户编写VBA脚本来灵活操作WORD,是Office软件设计者为了让人们使用软件进行工作时,避免一再重复相同的动作,而设计出来的一种工具。
360杀毒4.0版Office病毒免疫体验
黄沙百战穿金甲,不破楼兰终不还。
10-06 2007
现在,很多“办公族”喜欢到网上下载各种Word、Excel、PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带“Office病毒”,一旦感染,电脑中的其他文件也可能遭殃,严重性影响日常工作。听说360杀毒4.0新版具备超强的“Office病毒免疫”功能,接下来让我们亲自体验一下吧。   与旧版相比360杀毒4.0新版的“Office病毒”免疫功能开启/关闭按钮被直接设置到了
病毒复现
qq_23066945的博客
11-09 1026
病毒复现 1、简单讲讲病毒 百度:病毒是一种寄存在文档或模板的中的计算机病毒。一旦打开这样的文档,其中的就会被执行,于是病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种病毒,而且如果其他用户打开了感染病毒的文档,病毒又会转移到他的计算机上。 运行成功能够直接getshell 2、msf生成病毒 msfvenom -p w...
xsl 访问其他xml_加载远程XSL文件的免杀方法
weixin_39853590的博客
11-27 526
前言打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。在钓鱼攻击中木马的形式主要如下:OfficeDLL劫持假冒加固工具木马捆绑通常办公软件Office具有最大的安装量,将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法:0day已知CVE漏洞DDEAUTO注入执行命令第一种方法直接跳过,已知的CVE漏洞特征太...
RDPinception无弹窗递归感染(cobalt strike
qq_40334963的博客
03-04 568
该实验需要在远程登陆桌面服务的时候把驱动器打开,当RDPinception概念出来的时候,许多人都不以为意,认为没人会在登陆RDP时特意把驱动器打开(默认关闭)。正常情况下确实是这样,但是不谈同时维护多台主机的运维人员,即使是普通用户,当他需要本地与远程主机有频繁文件传输时,打开驱动器选项后通过文件简单地拖拽实现本地与远程主机的文件传输无疑是很方便的,毕竟不用像ftp那样还需要搭建服务器。但是这种...
kali安装Cobalt-Strike
07-27
安装Cobalt Strike在Kali Linux上需要以下步骤: 1. 首先,确保你已经安装了Java Development Kit (JDK)。你可以通过运行以下命令来检查是否已经安装了JDK: ``` java -version ``` 如果没有安装JDK,请使用以下命令安装: ``` sudo apt-get install default-jdk ``` 2. 下载Cobalt Strike的Linux版本。你可以从提供的下载链接中选择一个版本进行下载。例如,你可以使用以下命令下载4.5版本: ``` wget https://download.csdn.net/download/weixin_59679023/87354658 ``` 3. 解压下载的文件。你可以使用以下命令解压文件: ``` tar -xvf cobaltstrike-linux-4.5.tar.gz ``` 4. 进入解压后的目录: ``` cd cobaltstrike-linux-4.5 ``` 5. 运行Cobalt Strike的服务端。你可以使用以下命令启动服务端: ``` ./teamserver <IP地址> <密码> ``` 其中,<IP地址>是你的服务器IP地址,<密码>是你设置的密码。 6. 运行Cobalt Strike的客户端。你可以使用以下命令启动客户端: ``` ./cobaltstrike ``` 7. 在Cobalt Strike客户端中,你可以使用菜单中的"New Connection"选项来连接到已经启动的服务端。你可以同时连接多个服务器端。 以上是在Kali Linux上安装Cobalt Strike的基本步骤。安装完成后,你可以根据需要进行进一步的配置和使用。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [Cobalt Strike 的安装](https://blog.csdn.net/qq_56698744/article/details/131124692)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [kali安装cobaltstrike详细教程](https://blog.csdn.net/weixin_59679023/article/details/128495678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值