0x01 cs服務端繞過流量檢測
定義C2的通信格式,修改CS默認的流量特征
編寫Profiles:
開源Profiles:https://github.com/rsmudge/Malleable-C2-Profiles
隨便找一個,盡量找最近的,我用的是ocsp.profile
將代碼復制下來到我們的服務端cs目錄下,再給其可執行權限
然后測試運行:
./c2lint Profiles文件名
因此運行:./c2lint ocsp.profile
然后接下來在服務端啟動cs就可以了:
sudo ./teamserver ip 123456 ocsp.profile
0x03 AggressorScripts(侵略者腳本)
在Cobalt Strike中有一個非常實用的功能,就是可以加載各種腳本。Aggressor腳本基於Sleep腳本編寫的所以在學習Aggressor腳本之前需要先學習Sleep語言。
- Load 加載腳本
- Unload 卸載腳本
- Reload 重新加載腳本
Cobalt Strike 的Aggressor腳本集合來自多個來源:
常用的Aggressor腳本cna:
AVQuery.cna 列出安裝的殺毒 ProcessColor.cna 進程上色 ProcessMonitor.cna 檢測指定時間間隔內的程序啟動情況 Start 1m elevate.cna uac提權 更多: https://github.com/harleyQu1nn/AggressorScripts https://github.com/bluscreenofjeff/AggressorScripts
Aggressor腳本描述及用法:http://caidaome.com/?post=226
0x04 對cs馬進行捆綁操作
可以將cs馬綁定到一款exe工具軟件上,當然,將免殺馬捆綁在軟件上更為有效。
我們使用winrar的自解壓操作,將兩個exe文件選中添加的壓縮文件,然后勾選自解壓:
進入自解壓選項,解壓路徑設置為c:\windows\Temp
設置里面提取后運行,將cs馬放在第一個,自己的程序放在第二個:
模式選擇全部隱藏,更新方式選擇“解壓並跟新”,“覆蓋所有文件”
模式選擇全部隱藏;
然后確定,就生成了一個exe文件,點擊之后如果沒有報毒那么先運行cs馬再運行自己的程序。
0x05 cs shellcode免殺
這個的話沒怎么接觸shellcode,反正就是利用shellcode免殺后的cs馬可以繞過很多殺毒軟件,再也不怕自己的cs馬被查殺;
看看各位師傅的shellcode免殺思路:
https://www.cnblogs.com/-qing-/p/12234148.html
https://www.freebuf.com/column/227096.html