CS免杀姿势分享(等待更新)

admin 2021年9月29日22:56:18CS免杀姿势分享(等待更新)已关闭评论556 views字数 1426阅读4分45秒阅读模式

16558686

Cobaltstrike简介

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节。

Cobaltstrike各种免杀姿势

暗月内部系统的bypassAv

最近入了暗月的全栈渗透测试培训,里面有个内部系统,其中就有个bypassAv

今天心血来潮尝试了一下,发现是真的香,话不多说,直接开始。

image-20210703232700160

首先使用 cobal strike payload 生成 64位 c#

直接编辑生成出来的payload.cs

image-20210703232934530

我们只取{}中的十六进制代码,把shellcode复制到我们的bypassAv后可以自动生成一个exe

image-20210703233120080

这里拿我自己本机来测试,主机成功上线

image-20210703233156599

image-20210703233648332

Nim语言免杀

部署Nim环境

选择对应的版本,下载以后解压,复制bin目录地址,把bin目录地址添加到环境变量,打开cmd,输入nim,如下图则成功

image-20210724174457937

安装C、C++编译器

Nim编译器需要C编译器才能编译软件。文件夹包含一个简单应用程序finish.exe,可以点击finish.exe用来安装MingW。但是国内速度太慢,直接去github上下载吧

下载以后把压缩文件里的文件解压到nim的dist目录下

image-20210724174736113

进入该目录:xxxxdistmingw64-masterbin,复制目录再添加一个环境变量。

下载NimShellCodeLoader

下载NimShellCodeLoader_Winx64.zip 解压以后来到encryption进行编译

1
2
nim c -d:release --opt:size Tdea.nim
nim c -d:release --opt:size Caesar.nim

编译完成后来到主目录双击codeLoader.exe打开图形化界面。

Nim免杀详细测试

这里主要讲一两种方式,其他的还请各位师傅自行测试

CS生成payload

image-20210724175407570

打开codeLoader.exe图形化界面,把cs导出的payload.bin拖进来

image-20210724175701311

shellcode加载方式的介绍

1
2
3
4
5
6
7
OEP Hiijack-Inject Load # 入口点劫持注入加载
Thread Hiijack-Inject Load # 线层劫持注入加载
APC-Ijnect Load # APC 注入加载(APC应该是异步)
Early Bird APC-Injetc Load # Early Bird APC注入加载
Direct Load # 直接加载
GreateThreatPoolWait load # (线程池、信号量等)加载
Fiber Load # (用户级线程)加载

这里我们就不一个一个介绍了,可以自行探索

我们这里举一个例子吧,使用直接加载- TDEA

image-20210724175852605

选好加载方式和加密方式,点击generate

output里输出他的生成的可执行文件的目录。

C:Users86155DesktopNimShellCodeLoader_Winx64NimShellCodeLoaderbinDirect_Load.exe

这里直接拿火绒来扫吧,因为我没有360,可以自行测试360能否过

image-20210724180207404

本地测试可以成功上线

image-20210724180335375

相关推荐: PHP 8.1.0-dev 开发版本后门复现

0x00:简介    PHP 8.1.0-dev 开发版本在2021年3月28日被植入后门,但是后门很快被发现并修正。当受害者使用该后门PHP代码时,攻击者可以通过修改User-Agent头来执行任意代码。0x01:搭建环境htt…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月29日22:56:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CS免杀姿势分享(等待更新)http://cn-sec.com/archives/560702.html