16558686

Cobaltstrike简介

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节。

Cobaltstrike各种免杀姿势

暗月内部系统的bypassAv

最近入了暗月的全栈渗透测试培训,里面有个内部系统,其中就有个bypassAv

今天心血来潮尝试了一下,发现是真的香,话不多说,直接开始。

image-20210703232700160

首先使用 cobal strike payload 生成 64位 c#

直接编辑生成出来的payload.cs

image-20210703232934530

我们只取{}中的十六进制代码,把shellcode复制到我们的bypassAv后可以自动生成一个exe

image-20210703233120080

这里拿我自己本机来测试,主机成功上线

image-20210703233156599

image-20210703233648332

Nim语言免杀

部署Nim环境

官网/下载地址:https://nim-lang.org/install.html

选择对应的版本,下载以后解压,复制bin目录地址,把bin目录地址添加到环境变量,打开cmd,输入nim,如下图则成功

image-20210724174457937

安装C、C++编译器

Nim编译器需要C编译器才能编译软件。文件夹包含一个简单应用程序finish.exe,可以点击finish.exe用来安装MingW。但是国内速度太慢,直接去github上下载吧

下载以后把压缩文件里的文件解压到nim的dist目录下

image-20210724174736113

进入该目录:xxxx\dist\mingw64-master\bin,复制目录再添加一个环境变量。

下载NimShellCodeLoader

下载NimShellCodeLoader_Winx64.zip 解压以后来到encryption进行编译

1
2
nim c -d:release --opt:size Tdea.nim
nim c -d:release --opt:size Caesar.nim

编译完成后来到主目录双击codeLoader.exe打开图形化界面。

Nim免杀详细测试

这里主要讲一两种方式,其他的还请各位师傅自行测试

CS生成payload

image-20210724175407570

打开codeLoader.exe图形化界面,把cs导出的payload.bin拖进来

image-20210724175701311

shellcode加载方式的介绍

1
2
3
4
5
6
7
OEP Hiijack-Inject Load # 入口点劫持注入加载
Thread Hiijack-Inject Load # 线层劫持注入加载
APC-Ijnect Load # APC 注入加载(APC应该是异步)
Early Bird APC-Injetc Load # Early Bird APC注入加载
Direct Load # 直接加载
GreateThreatPoolWait load # (线程池、信号量等)加载
Fiber Load # (用户级线程)加载

这里我们就不一个一个介绍了,可以自行探索

我们这里举一个例子吧,使用直接加载- TDEA

image-20210724175852605

选好加载方式和加密方式,点击generate

output里输出他的生成的可执行文件的目录。

C:\Users\86155\Desktop\NimShellCodeLoader_Winx64\NimShellCodeLoader\bin\Direct_Load.exe

这里直接拿火绒来扫吧,因为我没有360,可以自行测试360能否过

image-20210724180207404

本地测试可以成功上线

image-20210724180335375