前段时间分享了PostExpKit插件的提权模块:简单好用的CobaltStrike提权插件,这次主要更新一些我认为比较实用的功能:1、2、3过部分防护场景,BOF合集见原项目,其他都是一些命令增强脚本......。
1、BadPotato创建线程执行shellcode2、官方Arsenal-kit免杀套件(20240125)3、trustedsec、REDMED-X (BOF)项目4、CobaltStirke主机上线iOS Bark通知5、better-upload增强内置upload命令6、Beacon信标执行命令日志可视化管理7、ls文件/文件夹、ps进程列表高亮显示8、helpx为不同类型的可用命令高亮显示
新版插件可在文末领取优惠券进星球下载,更多适用后渗透实战的脚本插件正在陆续测试,敬请期待..!
1、BadPotato创建线程执行shellcode
通过高权限Token创建线程执行shellcode获取SYSTEM,高权限操作需在当前线程执行,如果另起线程执行可能还是低权限,主要用于绕过某防护拦截创建进程等场景。
可参考星球文章:5.20 BadPotato绕过***核晶提权
2、官方Arsenal-kit免杀套件(20240125)
3、trustedsec、REDMED-X (BOF)项目
整合了几个国外Beacon对象文件(BOF)集合开源项目,可用于替代系统内置命令,避免AV/EDR的检测和拦截,具体命令功能及使用可以看原项目,下图为OperatorsKi。
https://github.com/REDMED-X/OperatorsKithttps://github.com/trustedsec/CS-Situational-Awareness-BOFhttps://github.com/trustedsec/CS-Remote-OPs-BOF
4、CobaltStirke主机上线iOS Bark通知
BarkBot.cna脚本填入key即可,不需要上线通知时可将@curl_command注释掉,否则火绒可能会拦截curl。
5、better-upload增强内置upload命令
CobaltStirke内置upload命令只能上传文件到当前目录,需先cd到某个目录再上传,而使用better-upload.cna脚本的增强命令可以上传文件到指定目录,并获取该文件的MD5哈希,方便IOC跟踪。
upload C:ProgramDatabeacon_x64.exe C:WindowsdebugWIAbeacon_x64.exeupload C:ProgramDatabeacon_x64.exe \DC1C$ProgramDatabeacon_x64.exe
6、Beacon信标执行命令日志可视化管理
使用Logvis.cna脚本记录已连接到CobaltStirke服务端用户的执行命令日志,记录的日志信息包括:
operator、ip、hostname、user、pid、command、timestamp
7、ls文件/文件夹、ps进程列表高亮显示
使用FilesColor.cna、ProcColor.cna俩个脚本可将执行ls、ps命令列出的文件/目录/进程根据其类型为其着色高亮显示,可在源码中根据需求自行修改和添加AV进程等数据源以及高亮显示颜色。
8、helpx为不同类型的可用命令高亮显示
HelpColor.cna脚本列出可用CobaltStrike信标命令并根据其类型为其着色高亮显示,作者@outflanknl在上个月更新了@TrustedSec的SA和Remote Ops BOFs命令,等有时间去加下OperatorsKit命令。
加入潇湘信安知识星球
原文始发于微信公众号(潇湘信安):PostExpKit - 20240423更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论