Cobalt Strike教程-第十八节 利用框架免杀

释放双眼,带上耳机,听听看~!

Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。

Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。

Cobalt Strike是一款常用于后渗透的神器,这个工具以团队作为主体,共享信息,拥有多种协议上线方式,集成了端口转发,端口扫描,socket代理,提权,钓鱼等。除去自身功能外,Cobalt Strike还利用了Metasploit和Mimikatz等其他知名工具的功能。

0x00 简介

AV查杀有几种方式:文件,内存,流量,行为。

以下文章基本都是做的比较简单的免杀,同时CS包含的其他模块可能被杀,我们有几种简单的思路,就不涉及什么定位特征码来做了。

  1. 加壳
  2. 多平台多语言生成shellcode
  3. 加密shellcode 加载
  4. 插入正常文件
  5. 白名单加载

0x01 框架

这几款是比较热门的,但是感觉效果一般了。

  1. Veil https://github.com/Veil-Framework/Veil
  2. Phantom-Evasion https://github.com/oddcod3/Phantom-Evasion
  3. shellter https://www.shellterproject.com/download/
  4. avet https://github.com/govolution/avet

总的来说支持msf的免杀框架都能用来免杀CS,因为他们的通讯是相通的,免杀msf用CS上线也是一样。

0x02 Veil

这里就拿Veil举例,因为Cobalt Strike生成的shellcode有支持他的,Veil的安装太繁琐了,各种出错,推荐使用docker 直接用。

Attacks > Packages > Payload Generator

Cobalt Strike

Veil-Evasion是veil 的老版本都一样

Cobalt Strike

这里直接选择generate

Cobalt Strike

输入2 自定义shellcode

Cobalt Strike

然后把刚刚 Payload Generator 生成的veil shellcode 输入进去就OK了 工具还提供其他的payload加载方式, 免杀效果一般般吧 貌似window defender都过不了 ,人怕出名猪怕壮。

0x03 文末

不是很推荐用这类的框架,可以学习它的思路来自己写。

本文如有错误,请及时提醒,以免误导他人

@404
aleenzz
公众号:aleenzz

人已赞赏
安全工具

Cobalt Strike教程-第十七节 权限维持

2019-11-11 15:48:56

安全工具

Cobalt Strike教程-第十九节 利用脚本加载shellcode

2019-11-11 15:51:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索