看到一个好玩的项目:https://github.com/hariomenkel/CobaltSpam/
这个项目可以伪造CobaltStrike的上线信息,原理是在CobaltStrike teamserver的默认配置下可以识别出beacon信息,基于该信息就可以伪造CobaltStrike的上线信息了。
一般来说,没有做特别防护的teamserver,使用了stager功能都会受到这个工具的影响。stager功能即分段shellcode,换句话说,使用了cs的shellcode都会受此影响。
为了方便使用,我修复上面软件的一些bug,丰富了各种类型的上线信息,将它变成了在线版,只需要输入cs teamserver的ip即可在线使用。
上线效果 (图中ip均为自动生成效果)
使用
公众号回复 “ CS上线器
” 即可获得CS上线器在线版地址。
从各种沙箱或者内存中提取出cs server的地址,填写到cs server地址上,选择上线台数,点击生成,会出现一段python3代码,需要本机安装有python3的环境,执行该代码即可。
广告
想了解相关工具的原理以及代码可以加入我的知识星球~
公众号回复 “ 知识星球
” 即可获得加入链接。公众号回复 “ CS上线器
” 即可获得CS上线器在线版地址。
本文始发于微信公众号(Hacking就是好玩):Cobalt Strike 上线器在线版
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论