CS 公网配置及 Invoke-Obfuscation Bypass [火绒&360]

sugar 2020-12-28
专栏 - 观点观察 发布于 2020-12-28 18:14:02 阅读 71 评论 0

前言

今天本来想做个PS1的免杀,但做的时候要用到cobaltstrike来生成ps1后门

刚开始的时候并不知道cobaltstrike是一个用于团队项目的工具,所以过程中出现了很多问题。

为了让大家熟悉cobaltstrike的运行流程

感觉还是很有必要写一篇有关cobaltstrike公网配置的文章。

顺便讲一下一个很不错的免杀脚本

新版本的CS要配合linux服务端才能运行起来。

网上讲CS4.0的文章很多,但是讲的都很不尽人意,都是私人内网使用的介绍,并没有在公网上实现完整的运行流程。

很多小白(像我似的死活不肯买服务器,映射派作风),因为映射很便宜嘛。所以思路习惯固化在映射上,什么监听配置首先都往内网映射上想。

当然,如果你告诉我你想用花生壳是来搞cobaltstrike!

劝你还是早早放弃。(原因不想多解释 你们能搞出来说明你们NB)

所以我也是拿出半天的时间,进行了一下从零开始如何使用服务器的相关操作。

当然啦!作为资深白嫖党买服务器是不可能的 这辈子都不可能的~

就算抓一台linux也不舍得买 哈哈哈哈(开个小玩笑o( ̄▽ ̄)o)

本着白嫖到底的原则,发现腾讯云可以白嫖一台linux的服务器。

大家可以自己去看一下:关注公众号后 就会送你台服务器(很香的呦~)

图片

图片

腾讯云利用ssh协议可以直接登录到终端,账号root 密码:在邮箱里

登陆后在终端进行CS的配置:

一.安装JAVA

访问:https://www.oracle.com/java/technologies/j...

下载X64压缩包

jdk-8u202-linux-x64.tar.gz

将压缩包放到phpstudy本地WWW文件夹中(我是开的映射phpstudy)

切记不要直接wget下载地址!!!否则无法运行CS

然后服务器终端运行指令:

wget 映射的公网IP/jdk-8u202-linux-x64.tar.gz

2. 解压缩文件并移动至/opt

  1. tar -xzvf jdk-8u271-linux-x64.tar.gz

  2. mv jdk1.8.0_202 /opt

  3. cd /opt/jdk1.8.0_202

3. 设置环境变量

执行 vim ~/.bashrc , 按”i”并添加下列内容

  1. # install JAVA JDK

  2. export JAVA_HOME=/opt/jdk1.8.0_202

  3. export CLASSPATH=.:${JAVA_HOME}/lib

  4. export PATH=${JAVA_HOME}/bin:$PATH

保存退出 按ESC后再shift+: 输入wq

4. 安装并注册

执行:

  1. update-alternatives --install /usr/bin/java java /opt/jdk1.8.0_202/bin/java 1

  2. update-alternatives --install /usr/bin/javac javac /opt/jdk1.8.0_202/bin/javac 1

  3. update-alternatives --set java /opt/jdk1.8.0_202/bin/java

  4. update-alternatives --set javac /opt/jdk1.8.0_202/bin/javac

查看结果:

复制代码

  1. update-alternatives --config java

  2. update-alternatives --config javac

二.安装cobaltstrike


依然是wget访问本地phpstudy映射到公网的IP下载

  1. wget xxx.cc/cs4.zip

  2. mkdir cs4 //创建一个文件夹

  3. mv cs4.zip cs4

  4. cd cs4

  5. unzip cs4.zip //解压密码cs4

  6. chmod a+x teamserver //貌似服务器终端上不需要提权

  7. ln -s /opt/jdk1.8.0_202/bin/keytool /usr/bin //这一步需要加软链接 很关键

  8. ./teamserver 公网IP CS密码

服务端就上线了!

图片

客户端:

windows下直接双击start.bat //记得安装JAVA 要不然打不开

linux下启动客户端:java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

图片

设置监听:

映射是死活设置不出来的!!!

图片

图片

生成Payload:

图片

图片

图片

Invoke-Obfuscation免杀

这个不得不提,因为他实在是太好用了!一直过一切杀软!!!

图片

管理权限运行:Set-ExecutionPolicy Unrestricted

图片

  1. Import-Module./Invoke-Obfuscation.psd1

  2. Invoke-Obfuscation

图片

  1. set scriptpath C:\Users\Administrator\Desktop\1.ps1

  2. encoding

  3. 1

图片

输出文件

out shell.ps1

测试免杀效果

完美绕过火绒和360全家桶 就问你舒不舒服?

图片

测试payload稳定性:

以学院靶场为例 稳定运行

图片

Invoke-Obfuscation免杀拓展:

Invoke-Obfuscation免杀有多种编码格式 当然也有多种运行方式

输入launcher

选择ps

我们可以看到有多种运行方式

  1. [*]启动程序\PS\0无执行标志

  2. [*]启动器\PS\1-NoExit

  3. [*]启动器\PS\2-非交互

  4. [*]启动器\PS\3-NoLogo

  5. [*]启动程序\PS\4-NoProfile

  6. [*]启动器\PS\5-命令

  7. [*]启动器\PS\6-窗口样式隐藏

  8. [*]启动器\PS\7-绕过执行策略

  9. [*]启动器\PS\8-Wow64(到路径32位父进程)

  10. 选择6,7实现隐藏和绕过执行策略执行效果很不错的呦!

  11. 更多操作等你们发现~

图片

原创:https://mp.weixin.qq.com/s/AX8-1_Lnx1zefsr...

原文链接:aj545302905 掌控安全EDU

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!