CobaltStrike的argue参数混淆技术绕过安全软件检测

最新推荐文章于 2024-04-24 08:17:06 发布

程序编码实践

最新推荐文章于 2024-04-24 08:17:06 发布

阅读量228

点赞数

CC 4.0 BY-SA版权

文章标签：编程

本文链接：https://blog.youkuaiyun.com/CoderExtra/article/details/133198047

编程专栏收录该内容

415 篇文章 ¥29.90 ¥99.00

订阅专栏

本文介绍了CobaltStrike中利用argue参数混淆技术来绕过安全软件检测的方法。攻击者通过污染argue参数，进行字符异或和Base64编码混淆，以降低被检测的可能性。虽然这种方法能提升隐蔽性，但随着安全软件的进步，综合防御措施仍是关键。

在网络攻击和渗透测试领域，CobaltStrike是一款功能强大的渗透测试工具，常用于模拟攻击和评估网络安全。然而，安全软件和防病毒引擎对CobaltStrike的检测能力也在不断提升。为了绕过这些安全软件的检测机制，攻击者常常使用各种技术手段来混淆CobaltStrike的代码，其中包括对argue参数的污染编程。

在CobaltStrike中，argue参数是指在Beacon对象中的一个重要属性，它用于设置与CobaltStrike服务器通信的各种参数。通过修改argue参数，攻击者可以隐藏CobaltStrike的行为，使其更难被安全软件检测到。

下面我们将介绍一种使用argue参数污染编程的技术来绕过安全软件检测的方法，并提供相应的源代码示例。

import random
import base64

def obfuscate_argue(argue_value):
    obfuscated_value =

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

程序编码实践

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

CobaltStrike的argue参数污染绕AV

谢公子的博客

06-20

3943

在获取了对方主机CobaltStrike Beacon后，需要执行一些敏感的操作(如创建用户等)。但是目标主机有AV，会直接报毒等。使用前提：administrator 或 system权限。

CobaltStrike的argue参数混淆绕过防病毒编程

TechO_O的博客

08-16

273

然而，传统的CobaltStrike命令中的argue参数经常被防病毒软件检测到，并触发警报。每次运行攻击时，生成的混淆argue参数都会有所不同，增加了攻击的隐蔽性和成功率。然而，需要注意的是，argue参数的混淆处理可能导致CobaltStrike服务器无法正确解析参数，因此在编写攻击代码时需要做好测试和调试工作。总结起来，通过对CobaltStrike的argue参数进行混淆处理，我们可以增加攻击的隐蔽性，有效绕过防病毒软件的检测。函数用于对传入的argue参数进行混淆处理。

参与评论您还未登录，请先登录后发表或查看评论

【内网安全】Cobalt Strike 使用

qq_44657899的博客

07-12

2646

文章目录Beacon命令argue参数污染 Beacon命令 argue参数污染 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Argue execute net1 user test test123 /add execute net1 localgroup administrators test /add argue 进程参数欺骗 argue [command] [fake arguments] argue 命令假参数欺骗某个命令参数 argue [com

【argue】进程参数欺骗

dr0op's blog

05-20

905

进程参数欺骗原理我们了解到利用argue进程参数欺骗可以在一定程度上绕过杀软拦截。它的原理是怎样的？首先我们可以了解到，在一个进程运行后，它的运行参数是保存在进程空间的。如果我们获取到保存参数的进程内存地址，并将参数进行修改（修改并不影响原始的参数功能，因为在修改之前已经被启动了）那么就可以达到“欺骗”杀软，达到不被拦截的目的。至于参数保存在进程空间的哪里，如何去获取就是接下来要讨论的。 PEB进程环境块 PEB进程环境块中存放进程相关的一些信息，而我们需要的commandline就保存在PEB里。与P

内网渗透之学习笔记

shy的博客

08-31

834

1，windows下找网站路径访问网站，找一个网站上拥有的文件，然后使用dir /s /b进行搜索 dir /s /b c:\checkform.js /S 显示指定目录和所有子目录中的文件。 /B 使用空格式(没有标题信息或摘要)。（对于文件来说，只显示文件名和扩展名，这一条比较实用！） 2、判断是否存在站库分离 3，制作DNS Beacon 准备一台VPS服务器(可以直接使用我们的CS服务器)，该机器的53端口一定要对外开放。然后准备好...

cobalt strike笔记-常用beacon命令.pdf

04-03

Cobalt Strike 使用的 Beacon payload 是一种被高级攻击者广泛使用的后门技术，它能够建立持久的、隐秘的控制通道，执行多种任务，从数据收集到横向移动等。下面详细介绍 Beacon payload 的一些常用命令及其实现。 ...

Cobalt Strike使用教程一

热门推荐

迷风小白

10-24

7万+

0x00 简介 Cobalt Strike是一款基于java的渗透测试神器，常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用，分为客户端与服务端，服务端是一个，客户端可以有多个，非常适合团队协同作战，多个攻击者可以同时连接到一个团队服务器上，共享攻击资源与目标信息和sessions，可模拟APT做模拟对抗，进行内网渗透。 Cobalt Strike集...

24qax笔试题库

qq_59468567的博客

04-24

1772

13.为了查看计算机网卡的配置参数，你在一台安装了Windows Server2008操作系统的计算机上运行ipconfig /all命令，但该命令不能查看到下面哪种配置 (1.5分)37.在 Windows Server2008系统中配置IP地址后想查看IP地址，可以通过 ()命令进行查看( 1.5分)12.在 Windows 2008中，添加或删除服务器功能 (例如telnet) 的工具是 () (1.5分)2.以下哪条"/etc/ssh/sshd config"配置是更改默认端口 (1.5分)

Cobaltstrike学习（二）beacon命令

kang_12358的博客

07-20

6822

Cobaltstrike学习（二）beacon命令 1.Beacon命令在已经上线的服务器上右击==>打开Beacon，在里面可以执行各种命令在cs中默认的心跳时间是60s,我们可以用sleep 命令来更改心跳时间（心跳时间是指上线的服务器和cs服务器的通信时间）心跳时间很长就会响应的时间很慢，但也不能设置的很短，不让很容易会被监测到与cs通信的流量，具体多少可以根据测试环境自己来设置。在Beacon中执行cmd命令时需要在前面加上shell，例如：shell whoami.

Cobalt Strike beacon详解

qq_38348692的博客

08-18

3717

这篇文章接着上一篇weblogic漏洞拿到beacon开始写的，拿beacon的过程详细请看上上一篇文章：[WebLogic wls9-async 反序列化漏洞(CNVD-C-2019-48814)复现](https://blog.youkuaiyun.com/qq_38348692/article/details/99676809)。 beacon 中输入和help，查看所有的命令，及翻译： Beaco...

渗透工具之CS4.0使用说明书

m0_59991869的博客

10-14

5080

CS4.0使用说明书目录安装使用运行监听器 listner 使用不同监听介绍木马生成后门钓鱼攻击邮件钓鱼功能上部选项栏下部工具栏 beacon的使用会话功能安装使用安装系统环境：需要java环境Oracle Java 1.8，Oracle Java 11 下载解压就可以使用使用首先要运行服务端，如果你有个外网的机器，可以把服务端运行于外网的机器上，也可以运行于本地服务端启动命令 windows 运行teamserver

HTTP参数污染(HPP)漏洞

谢公子的博客

06-26

9918

HPP(HTTP参数污染) HPP是HTTP Parameter Pollution的缩写，意为HTTP参数污染。原理：浏览器在跟服务器进行交互的过程中，浏览器往往会在GET/POST请求里面带上参数，这些参数会以名称-值对的形势出现，通常在一个请求中，同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接：http://www.baidu.com?...

HTTP参数污染攻击

0xdawn的博客

03-17

3896

服务器两层架构服务器端有两个部分：第一部分为tomcat为引擎的jsp型服务器，第二部分为apache为引擎的php服务器，真正提供web服务器的是php服务器。工作流程为：client访问服务器能直接访问到tomcat服务器，然后tomcat服务器再向apache服务器请求数据。 HTTP参数处理在与服务器进行交互的过程中，客户端往往会在GET/POST请求中带上参数。通常在一个请...

Cobalt Strike下的快速横向扩展

qax

09-12

3600

C2下的横向移动本来打算今天早点睡的，奈何小区内的施工也不知道脑子怎么想的，凌晨大半夜的各种发动机嗡嗡响，实在是睡不着，想了下，写个文章来记录一下自己最近实战中的一些经验吧。 1.前言在红队人员拿到一台内网机器后，会进一步利用此权限进行内网的横向移动，从而进一步拿下内网更多的权限。本文只要是总结利用c2快速，简单有效的一个横向扩展。 2.提权拿到一台内网服务器，如果权限不高的情况下，可能对我们后续的渗透比较局限，所以我们需要先提升到system权限在C2中有直接提权的exp，官方.

Cobaltstrike系列教程(三)beacon详解

J0o1ey Blog

08-01

1万+

0x000–前文有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群，欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令大家通过系列教程(二)的学习，配置好Listner，让目标机执行我们的Payload/后门程序后，即可发现目标机已经上线右键目标interact来使用Beacon，我们用它来执行各种命令 ※在Cobalt Stri...

CobaltStrike的使用

weixin_44110913的博客

07-29

6162

目录 CobaltStrike CobaltStrike的安装 CobaltStrike的使用 CobaltStrike模块创建监听器Listener 创建攻击Attacks HTML Application MS Office Macro Payload Generator Windows Executable & Windows Executable(S)　 Web Drive-by&...

Cobalt Strike命令