CS二开记录
相关jar包反编译我在上一篇文章有提到过
https://mp.weixin.qq.com/s/qMJiid8EgYZXxSxQHU72xQ
各个版本的官方解密key:
4.0 1be5be52c6255c33558e8a1cb667cb06
4.1 80e32a742060b884419ba0c171c9aa76
4.2 b20d487addd4713418f2d5a3ae02a7a0
4.3 3a4425490f389aeec312bdd758ad2b99
4.4 5e98194a01c6b48fa582a6a9fcbb92d6
证书认证流程
cobaltstrike.auth认证密钥文件,rsa加密,解密内容:
final byte[] decrypt = {1, -55, -61, 127, //证书时间限制29999999(永久)
0, 0, 0, 1, //watermark(水印)
44, //版本
16, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20,
16, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20,
16, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20, 20,
16, 58, 68, 37, 73, 15, 56, -102, -18, -61, 18, -67, -41, 88, -83, 43, -103,
16, 94, -104, 25, 74, 1, -58, -76, -113, -91, -126, -90, -87, -4, -69, -110, -42};
每更新一个版本,对应的长度+17,key增加17位。
aggressor/Aggressor.class中License.checkLicenseGUI(new Authorization());开始license认证:
CobaltStrike4.4源码修改方法
新建工程引入逆向源码与原有jar包
1、打开IntelliJ IDEA并新建项目
创建后在项目下新建立两个文件夹decompiled_src 和lib
decompiled_src:
就将上面反编译出来的cobaltstrike.jar解压到decompiled_src
lib:
将原版cobaltstrike.jar 拷贝到 lib
完成后
选择file->project Structure->Modules->Dependencies->Library-Java
选lib文件夹里刚拷贝过去的jar包
勾上
然后file->project Structure->Artifacts—>jar—>from modules with dependencies 去新建一个Main Class
Main Class 可以在 Lib->cobaltstrike.jar->META-INF->MENIFEST.MF中找到
复制aggressor.Aggressor然后填上去
然后在decompiled_src中找到已经反编译完的aggressor主类,右键选择Refactor ->Copy File(直接复制也行)
之后记得把Lib->cobaltstrike.jar->META-INF->MENIFEST.MF的内容全部拷贝覆盖src->->META-INF->MENIFEST.MF不然编译完成后运行会报错
添加代码尝试JOptionPane.showMessageDialog(null, "Hello world");
运行前记得加运行配置
-XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC
2、修改源码并重新打包
将要修改的源码连同其对应的路径,一起复制到MyCobaltStrike的src下,如我们计划修改aggressor下的Aggressor.java(入口类导出时必须包含).
入口类:为整个程序的主类,是整个程序开始运行的地方,可以通过MANIFEST.MF文件中的Main-Class了解.
导出修改后的jar包
【文件】–>【项目结构】–>【工件】–>【+】–>【JAR】–>【来自具有依赖项的模块】–>【从模块创建JAR】–>【选择主类】–>【JAR】–>【来自具有依赖项的模块】–>【选择主类Aggressor】–>【确认】
【构建】–>【构建工件】
至此代码修改完成.
破解CS(jar点击或者运行直接打开)
参照:
https://ucasers.cn/%E5%AF%B9cobaltstrike4.4%E7%9A%84%E7%AE%80%E5%8D%95%E9%AD%94%E6%94%B9/#title-3
https://www.iculture.cc/forum-post/14036
方法一硬编码key
对AuthCrypto().decrypt进行RSA解密后赋值的参数写死:
中间4.0、4.1、4.2的key是没有用到的可以随便写,最后一组写4.3泄露出来的key,4.4同理。
或者Authorization()函数都删掉,几个判断值写死,例如4.4的Authorization():
public Authorization() {
try {
this.watermark=999999;
this.validto="forever";
this.valid = true;
final byte[] bytes = {94, -104, 25, 74, 1, -58, -76, -113, -91, -126, -90, -87, -4, -69, -110, -42};
MudgeSanity.systemDetail("valid to", "perpetual");
MudgeSanity.systemDetail("id", this.watermark + "");
SleevedResource.Setup(bytes);
}
catch (Exception ex2) {
MudgeSanity.logException("auth file parsing", ex2, false);
}
}
那个Authorization函数最好再修改下,建议把读取cobaltstrike.auth文件的代码全部注释掉。接下来就是注释掉common/Stater.java里面的initializeStarter函数内容和common/Stater2.java里面的initialize函数内容,并且注释掉common/Helper.java里面的startHelper函数除返回真以外的所有内容。
剩下的把beacon中途退出的暗桩也去掉,即把beacon/BeaconData.java文件中的shouldPad函数里面的this.shouldPad值改成恒为false。
TIPS:也许会遇到编译错误,一般按照ideaj的提示自动进行修改或者对比其他反编译结果修改即可!后不赘述。
OK了,可以先简单测试一下能不能进行远控,基本是没什么问题了。
方法二自己生成证书
生成代码可参考:https://xz.aliyun.com/t/8557#toc-4
import javax.crypto.BadPaddingException;import javax.crypto.Cipher;import javax.crypto.IllegalBlockSizeException;import javax.crypto.NoSuchPaddingException;import java.io.*;import java.security.*;
public class RSAKeyPairGenerator {
private PrivateKey privateKey;
private PublicKey publicKey;
public RSAKeyPairGenerator() throws NoSuchAlgorithmException {
KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
keyGen.initialize(2048);
KeyPair pair = keyGen.generateKeyPair();
this.privateKey = pair.getPrivate();
this.publicKey = pair.getPublic();
}
// 将byte 写入文件
public void byte2File(String path, byte[] data) throws IOException {
File f = new File(path);
f.getParentFile().mkdirs();
FileOutputStream fos = new FileOutputStream(f);
fos.write(data);
fos.flush();
fos.close();
}
public PrivateKey getPrivateKey() {
return privateKey;
}
public PublicKey getPublicKey() {
return publicKey;
}
// 加密数据
public byte[] encryptPri(byte[] data, PrivateKey privateKey) throws BadPaddingException, IllegalBlockSizeException, InvalidKeyException, NoSuchPaddingException, NoSuchAlgorithmException {
Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
cipher.init(Cipher.ENCRYPT_MODE, this.privateKey);
return cipher.doFinal(data);
}
public static void main(String[] args) throws NoSuchAlgorithmException, IOException, IllegalBlockSizeException, InvalidKeyException, NoSuchPaddingException, BadPaddingException {
RSAKeyPairGenerator PairGenerator = new RSAKeyPairGenerator();
//byte[] data = {-54, -2, -64, -45, 0, 77, 1, -55, -61, 127, 0, 0, 0, 1, 43, 16, 58, 68, 37, 73, 15, 56, -102, -18, -61, 18, -67, -41, 88, -83, 43, -103 };
byte[] data ={-54, -2, -64, -45, 0, 77, 1, -55, -61, 127, 0, 0, 0, 1, 43,
16, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11,
16, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11,
16, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11,
16, 58, 68, 37, 73, 15, 56, -102, -18, -61, 18, -67, -41, 88, -83, 43, -103};
byte[] rsaByte = PairGenerator.encryptPri(data, PairGenerator.getPrivateKey());
PairGenerator.byte2File("RSA/cobaltstrike.auth", rsaByte);
PairGenerator.byte2File("RSA/authkey.private", PairGenerator.getPrivateKey().getEncoded());
PairGenerator.byte2File("RSA/authkey.pub", PairGenerator.getPublicKey().getEncoded());
}
}
将生成的authkey.pub放入src/resources/,将生成的cobaltstrike.auth放到打包好的jar包同目录,修改common/AuthCrypto.load()函数中md5数为authkey.pub的值:
Javaagent方式
Javaagent原理:https://www.cnblogs.com/rickiyang/p/11368932.html
破解工具可参考:https://github.com/Twi1ight/CSAgent
破解的核心还是需要cs对应版本的key
去除暗桩(影响正常使用的口)
beacon/BeaconData中将shouldPad方法的值固定为false:
相比之前的this.shouldPad的exit,又在common/Helper增加.class判断,注释即可:
在common/Starter中增加.class判断,注释即可:
在common/Starter2中增加.class判断,注释即可:
代码修改
BeaconPayload中修改异或数值为新:
随便一个10进制数字即可,后面dll中改成对应的16进制数字。
dll修改
使用CrackSleeve把dll进行解密:https://github.com/ca3tie1/CrackSleeve/
将cobaltstrike.jar和CrackSleeve.java放一起
编译(javac -encoding UTF-8 -classpath cobaltstrike.jar CrackSleeve.java)
解密文件(java -classpath cobaltstrike.jar;./ CrackSleeve decode) # windows命令行执行
Alt+T进行关键字搜索:2Eh
直接修改xor的值,先Change byte找到2E修改,再Apply pathes to input file保存。(别忘记保存)
需要修改的dll:beacon.dll、beacon.x64.dll、dnsb.dll、dnsb.x64.dll、pivot.dll、pivot.x64.dll、extc2.dll、extc2.x64.dll
再CrackSleeve加密dll,最后,把encode目录下的dll,放到idea项目目录中重新编译打包。
进行测试uri地址虽说仍旧可以请求到,但内容已经无法用nmap脚本解密出来,同理也可躲避空间搜索引擎的识别:
除了修改异或值的方式,也可以
https://mp.weixin.qq.com/s?__biz=MzA3MDY2NjMxMA==&mid=2247484641&idx=1&sn=014f6c4ad5343e3f5034c33dffa66f26&chksm=9f3815c8a84f9cde1c7493ff29cfc89c0474fec48ede52be618727e7b9a5ab321c4743e1a44c&mpshare=1&scene=23&srcid=1202NA46yt71CvD3BMGKS10c&sharer_sharetime=1606892728447&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd 改掉checksum8算法,但是只能固定uri访问了,需要配合profile才能使用,而且每次改uri还要重新打包,方法各有利弊吧。
4.3修改
32位dll
地址位:10009FBB
6A 00 修改为6A 09(00修改为任意)
64位dll
地址位:000000001800186C3
beacon.x64.dll里面的指令是xor edx, edx,修改为mov edx, esi
4.4修改
32位dll
地址位:1000A0B9
6A 00 修改为6A 09(00修改为任意)
64位dll
地址位:000000018001879B
beacon.x64.dll里面的指令是xor edx, edx,修改为mov edx, esi
使用重新加密:java -classpath cobaltstrike.jar;./ CrackSleeve encode
cs修复错误路径泄漏stage
源头:
方法就是对uri加个/判断就可以了,不是/开头就响应到404:
也就是在cloudstrike/WebServer.java里面的_serve函数中合适位置加上对uri开头字符的判断。
4.4修改
4.3修改
增加用户名加密显示
为了避免在Event Log中泄漏totp密码或者登录cs的名称,对name字段进行md5加盐显示,修改后如下:
原文始发于微信公众号(硅步security):CS二开记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论