昨天看HVV的CS IP情报,在里面发现了我的VPS。
自己照着走了一遍搜索关键字,发现自己被标记的原因是因为以前用过没有改造的CS。。。很气
Fofa识别cobalt strike服务器
header="HTTP/1.1404 Not Found Content-Type: text/plainDate:"||protocol="cobaltstrike"||cert="Serial Number:146473198"
前段时间根据暗月公众号写的CS免杀文章小小的改造了一下分享的CS4.2.7。 但是由于最终发现就一点优化,所以就忽略掉了更新。
魔改CobaltStrike:免杀就像便秘一样
https://mp.weixin.qq.com/s/M673ni4Mt8VkW5gJ3Tl9IgCobaltStrike
CobaltStrike免杀:从便秘到舒畅
https://mp.weixin.qq.com/s/FhcGJl4_vdpDiEAjHl5cmw
其中【魔改CobaltStrike:免杀就像便秘一样】是重写了一个stager loader。
其中【CobaltStrike免杀:从便秘到舒畅】是重写了一个stager模式上线时的流量特征。
1、重写的stager loader源码需要自行编译,
#我没有进行编译,其中的url需要改成上线url。CS4.x.7中的URL是两串加密的hash值,可以jd-gui反编译查看或在CS profile自定义stage上线的两个set uri【私聊也行】。
2、根据暗月公众号的文章和其github上的修改源码,我将CS4.X.7进行了两处特征修改
1、Default.profile的特征
2、导出函数RefletiveLoader名字
注意我并没有进行大量的测试,只测试了流量可以正常上线。
1、上一次已获取到CS4.X.7的表哥们可以直接找【MOYU】升级,有4.1.8和4.2.8版本。
2、为了上次活动的公平性,没有获取到的麻烦按照开始的【分享规则】转发朋友圈点赞获取。(特殊时期,赞可以少一点)
【PS:十分感谢暗月师傅的分享,如有任何侵权行为请及时联系】
如您有任何投稿、问题、建议、需求、合作、请后台留言NOVASEC公众号!
或添加NOVASEC-MOYU 以便于及时回复。
感谢大哥们的对NOVASEC的支持点赞和关注
加入我们与萌新一起成长吧!
本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!!
本文始发于微信公众号(NOVASEC):CobaltStrike4.x.8助力红队流量免杀
评论