Cobaltstrike简介

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节。

Cobaltstrike各种免杀姿势

暗月内部系统的bypassAv

最近入了暗月的全栈渗透测试培训，里面有个内部系统，其中就有个bypassAv

今天心血来潮尝试了一下，发现是真的香，话不多说，直接开始。

首先使用 cobal strike payload 生成 64位 c#

直接编辑生成出来的payload.cs

我们只取{}中的十六进制代码，把shellcode复制到我们的bypassAv后可以自动生成一个exe

这里拿我自己本机来测试，主机成功上线

Nim语言免杀

部署Nim环境

选择对应的版本，下载以后解压，复制bin目录地址，把bin目录地址添加到环境变量，打开cmd，输入nim,如下图则成功

安装C、C++编译器

Nim编译器需要C编译器才能编译软件。文件夹包含一个简单应用程序finish.exe，可以点击finish.exe用来安装MingW。但是国内速度太慢，直接去github上下载吧

下载以后把压缩文件里的文件解压到nim的dist目录下

进入该目录：xxxxdistmingw64-masterbin，复制目录再添加一个环境变量。

下载NimShellCodeLoader

下载NimShellCodeLoader_Winx64.zip 解压以后来到encryption进行编译

1
2

nim c -d:release --opt:size Tdea.nim
nim c -d:release --opt:size Caesar.nim

编译完成后来到主目录双击codeLoader.exe打开图形化界面。

Nim免杀详细测试

这里主要讲一两种方式，其他的还请各位师傅自行测试

CS生成payload

打开codeLoader.exe图形化界面，把cs导出的payload.bin拖进来

shellcode加载方式的介绍

1
2
3
4
5
6
7

OEP Hiijack-Inject Load # 入口点劫持注入加载
Thread Hiijack-Inject Load # 线层劫持注入加载
APC-Ijnect Load # APC 注入加载（APC应该是异步）
Early Bird APC-Injetc Load # Early Bird APC注入加载
Direct Load # 直接加载
GreateThreatPoolWait load # （线程池、信号量等）加载
Fiber Load # （用户级线程）加载

这里我们就不一个一个介绍了，可以自行探索

我们这里举一个例子吧，使用直接加载- TDEA

选好加载方式和加密方式，点击generate

output里输出他的生成的可执行文件的目录。

C:Users86155DesktopNimShellCodeLoader_Winx64NimShellCodeLoaderbinDirect_Load.exe

这里直接拿火绒来扫吧，因为我没有360，可以自行测试360能否过

本地测试可以成功上线