下載地址
先放下載鏈接:
- 原版: cobaltstrike4.0-original
- 破解版:cobaltstrike4.0-cracked
- macOS客戶端:cobaltstrike4.0-macOS app
Gitee: https://gitee.com/ssooking/cobaltstrike-cracked.git
百度雲鏈接: https://pan.baidu.com/s/1Ah-H0Eelvm8PmVZ0_Jvz6w 密碼: up2s
Coding:https://e.coding.net/ssooking/cobaltstrike-cracked.git
主要修改的文件:
common/Authorization.class
beacon/BeaconData.class
aggressor/dialogs/WindowsExecutableDialog.class
破解版說明:
- 繞過驗證校驗
- 破解過期問題
- 去除exit暗樁
- 修復x64上線問題
macOS可以使用jar2app一鍵制作app程序
jar2app cobaltstrike.jar -j "-XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M" -i cobaltstrike.icns
-j參數后是cobaltstrike4執行需要的jvm參數
-i 參數后加icns圖標文件,可以使用軟件或者在線工具把圖片轉成icns格式
破解記錄
cobaltstrike4.0更新以來,沒有像之前一樣提前拿到原版,運氣用光了+~+,國際友人也沒有,一直在等着白嫖版的出現。昨天凌晨2點多CoolCat師傅放出了CobaltStrike4.0的破解版,並隨后發布了破解文章Patch Cobalt Strike4.0,不過當時只破解了校驗問題(現已更新),未注意到過期問題和exit暗樁問題。
后來有小伙伴分享了原版。該原版非官方最新版,而是2019年12月份的有bug版本,官方隨后進行了更新。該bug版本主要的影響之一就是生成x64的木馬時,無法正常上線。
於是昨晚進行了破解,主要修改了過期問題,和exit暗樁導致的beacon退出問題,過校驗那用的還是CoolCat的(懶)。
common.Authorization過期問題關鍵處:
1.protected boolean valid = false; //false改為true
2.isValid() //函數置空
3.isExpired() //函數置空
beacon.BeaconDataexit暗樁問題關鍵處:
public void shouldPad(boolean paramBoolean) {
this.shouldPad = paramBoolean; //paramBoolean改為false
this.when = System.currentTimeMillis() + 1800000L;
}
改完后愉快地私下分享給了一些小伙伴,今天下午發現官方的bug影響到了x64的上線,手里有項目暫時也沒精力去看。此時可愛的小天使snowming出現了,下午她讀代碼研究了一下,解決了這個問題,文章見其司知識星球鏈接。該問題的原因是在生成 stage 可執行文件時候,不管是 x64 還是 x86,都直接使用了x86的payload,因此只需要添加一個判斷邏輯即可。
修改方法:
path:aggressor/dialogs/WindowsExecutableDialog.class
public void dialogAction(ActionEvent paramActionEvent, Map paramMap) {
this.options = paramMap;
String str1 = DialogUtils.string(paramMap, "listener");
boolean bool = DialogUtils.bool(this.options, "x64");
if (bool) {
this.stager = ListenerUtils.getListener(this.client, str1).getPayloadStager("x64");
} else {
this.stager = ListenerUtils.getListener(this.client, str1).getPayloadStager("x86");
}
if (this.stager.length == 0)
....
感謝@snowming,最后的版本是她基於我的基礎上修改了x64的部分,算是ssooking&snowming破解版吧:)。后來看到CoolCat師傅也發博客分享了解決方法Patch Cobalt Strike 4.0 Stage X64 Bugs,文章的分析思路值得學習。感謝師傅們的付出和完善。同時,此文發出前幾分鍾,看到了Frost Blue 零隊公眾號發的另一種破解繞過校驗思路,Cobaltstrike 4破解之我自己給我自己頒發license。
彩蛋
最后還有一個小彩蛋,在dialog.FontDialog下,有個
乍一看上去像留了后門,仔細看下代碼發現僅僅是個Label,可能是作者的惡作劇吧。不過這也提醒我們,網上的東西使用需謹慎,畢竟在這么大的代碼量下是否隱藏了些什么也不得而知。
