魔改CobaltStrike:二开及后门生成分析

最新推荐文章于 2025-03-19 17:03:04 发布
原创 最新推荐文章于 2025-03-19 17:03:04 发布 · 3.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

一、概述:

这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。

 

二、常用二开的方式:

2.1 RDI,反射型DLL注入

新建目录,添加反射型Dll:

在default.can文件中添加自定义的菜单项,其中传入参数$1为beaconID:

在AggressorBridge.java的scriptLoaded()方法中增加自定义的dialog:

在evaluate()方法添加相应的事件处理,来打开自定义的对话框:

自定义的对话框的构造方法传入client和beaconID的数组,以便后续构造TaskBeacon实例,再调用TaskBeacon实例中新增的RDITest()方法,:

下图为在TaskBeacon.java中的TaskBeacon类中新增的RDITest(),在该方法中生成RDITestJob类对象并调用其spawn()方法:

所增加的RDITestJob类,该类继承Job类,并实现所需的虚函数,其中getDLLName()函数要返回所需dll的路径:

另外在该类中重写了父类的spawn()方法,因为父类的spawn()方法会调用decrypt()函数解密后相应的资源后再去读取,而我们的dll没有进行加密,所以直接读取即可:

测试运行:

 

2.2 BOF,Beacon Object File,加载运行obj File

先生成相应的.Bof文件,这里以netstat功能为例子

新建自定义的BOF类,并继承PostExInlineObject类,重写类中的getObjectFile()方法,该方法的作用是返回要加载的BOF文件路径:

其中在父类PostExInlineObject中的getFunction()方法可以修改BOF文件的入口方法名,不一定为go:

然后在TaskBeacon增加其BOF类的调用:

最后在自定义dialog中调用:

测试运行:

最低0.47元/天 解锁文章

200万优质内容无限畅学
Cobalt Strike&&免杀
chinese_cabbage0的博客
06-26 1129
32px,logo是256。
SecondaryDevCobaltStrike:发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了发后CobaltStrike. 此次CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
Cobalt Strike 客户端调试环境搭建
anddddoooo的博客
02-07 1269
jdk15.0.2idea 2022,并对比一下 HASH。
CobaltStrike发环境准备以及免杀
r250414958的博客
05-08 9223
文章目录前言一、环境、过程1.注册Idea2.原版CobaltStrike3.始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结 前言 原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,次编译CobaltStrike就是一个很好的办法。 一、环境 win7_x64 jdk-11.0.14 Idea.2
Cobaltstrike 需要哪些
SHELLCODE_8BIT的博客
11-28 1224
1.上线的默认证书 2.生成出的shellcode 3.defender查杀截图 4.kaspersky 查杀shell运行
Cobalt Strike 4.8 Full Black Edition
06-23
Cobalt Strike是一款广泛应用于网络安全测试、红队操作和漏洞利用模拟的专业工具,其4.8 Full Black Edition是该软件的一个版本。这个版本通常包含了所有功能,并可能包含一些额外的特性或者更新,专为安全研究人员...
cobaltstrike 4.0.zip
03-12
Cobalt Strike 4.0内置了一个后门程序生成器,它能够生成多种类型的后门程序,并且还内置了各种命令和控制服务器(简称C2服务器)模板。这些模板模拟了真实世界中各种攻击者的C2服务器,使测试者在模拟攻击时更加...
CobaltStrike实战:生成与传播攻击后门
"网络攻防与防御 实验四利用Cobaltstrike生成攻击后门,通过网络共享和文件托管下载并运行后门,探讨了CobaltStrike的使用及其功能,包括端口转发、服务扫描、木马生成等。实验环境为Window10和Kali Linux,强调了在...
124-CobaltStrike发环境初探.pdf
09-20
124-CobaltStrike发环境初探.pdf
逆向分析Cobalt Strike安装后门
pandazhengzheng的博客
02-23 1548
逆向分析Cobalt Strike安装后门
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
钴打击源 Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码,修了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修调试那个文件只需把该文件复制到src下即可。 这是Cobaltstrike4.1系列的帖子,若有错误请指出,谢谢:
[笔记]攻防工具分享之 CobaltStrike框架 《生成后门
二次元怪兽的博客
08-07 943
默认会有一个已经建立的好的监听配置我们可以修它 或者添加一个新的监听配置。
CobaltStrike后门生成
bring_coco的博客
05-05 5046
一.Payload介绍 Payload在渗透测试中大家可以简单地理解为一段漏洞利用/植入后门的代码或程序 .Cobaltstrike生成后门 1.HTML Application(生成基于HTML的攻击载荷,比如可执行文件,Powershell,VBA) HTML Application用于生成hta类型的文件。HTA是HTML Application的缩写(HTML应用程序),是软件发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差
红队笔记之CobaltStrike4.4源码修方法
明光札记
12-04 8020
文章目录CobaltStrike4.4反编译的几个思路方法一:利用动态编程完成源码的修方法:借助反编译工具先反编译再进行编译方法三:借助原有jar与反编译源码修并编译代码CobaltStrike4.4源码修方法步骤简介具体步骤利用反编译工具逆向出源码新建工程引入逆向源码与原有jar包修源码并重新打包 本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修方法,修CobaltStrike主要为了修和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火.
发环境_CobaltStrike发环境初探
weixin_30717229的博客
12-14 1423
这是酒仙桥六号部队的第124篇文章。全文共计2938个字,预计阅读时长9分钟。在我们使用cobaltstrike的过程中,会涉及到发,从而使其功能上更加的健壮,不至于碰到杀软就软了的地步,本文从cobaltstrike的快速反编译到发环境的准备作为cobaltstrike的起步。IntelliJ IDEA自带了一个反编译java的工具,有时候我们需要对coba...
cobaltstrike之创建监听器与生成后门
热门推荐
渗透之路,攻防之间皆学问
06-24 1万+
创建监听器Listener 什么时候需要创建一个监听器了,比如我们拿到一个shell。此时我们就需要用cs生成一个payload传入到目标服务器上来,这个payload要与服务器进行连接就需要服务器先启一个监听,payload才能找到服务器。 如下进行点击,然后在最下面点击add,进行监听器的添加 页面配置信息如下 name:为监听器名字,可任意 payload:payload类型 HTTP Hosts: shell反弹的主机,也就是我们kali的ip(如果是阿里云,则填阿里云主机的公网ip
cobalt strike之生成后门模块使用(四)
最新发布
2303_78851087的博客
03-19 485
cobalt strike之生成后门模块使用(四)
153.网络安全渗透测试—[Cobalt Strike系列]—[生成hta/exe/宏后门]
qwsn
03-25 2731
一、后门简介 1、hta后门 2、exe后门 3、宏病毒后门 生成后门并测试 1、生成HTA后门并测试 2、生成exe后门并测试 3、生成宏病毒后门并测试
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值