现在让我们尝试运行默认的 mimikatz 命令。
这最终被 Defender 检测到并杀死了我们的信标。
因此,我要做的是重新编译 Mimikatz Sliver 扩展。我将使用 s3cur3th1ssh1t 提供的以下混淆脚本。
这是一个最初用于编译可以逃避 Defender 的 .exe 的脚本,但是生成的 .exe 现在已经无法逃避 Defender,但它足以创建一个混淆的 .dll,该将在 Sliver C2 中作为 BOF 加载。我们鼓励您进一步修改此脚本。
现在我们只是要修改它,以便它从 sliverarmory 存储库下载修改后的 mimikatz,而不是 gentilkiwi。
GitHub - sliverarmory/mimikatz:一个玩 Windows 安全性的小工具
一个玩 Windows 安全性的小工具。通过在 sliverarmory/mimikatz 上创建帐户来为 sliverarmory/mimikatz 开发做出贡献...
github.com
现在我们可以运行脚本,我们将获得一个名为 “windows” 的文件夹,其中包含要编译的 Visual Studio 项目。
现在,我将把文件夹移动到我的 Windows VM,其中有 Visual Studio。
现在,我在 Visual Studio 中打开项目,在编译之前,我将确保选择 sliverkatz 选项和我的目标体系结构。
现在编译,我们应该得到一个名为 powerkatz.dll 的文件,我要把这个文件移动到我的 kali VM,那里有 Sliver。
现在,我将转到我的 sliver-client/extensions 文件夹,并使用新名称复制 mimikatz 文件夹。
现在,我将powerkatz.x64.dll替换为我们编译的powerkatz.dll。
现在,我只需稍微修改 extension.json 文件,以重命名命令名称。
现在,让我们启动 Sliver 并从启用了 Defender 的受害者 Windows 计算机获取信标。
让我们使用 help 命令来确保我们修改后的 mimikatz 已加载。
现在让我们运行命令并测试它!
我们修改后的 mimikatz 可以工作,Defender 没有检测到它,我们的信标仍在运行!
原文始发于微信公众号(安全狗的自我修养):为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论