CobaltSrike二次开发之流量修改
CobaltStrike特征修改
修改Stager防止被直接扫描:修改位置如下
cloudstrike/webserver.java |
修改isStager函数,只要不是92或者93就行。这里首先需要修改checksum8,将其返回值改为return sum
cloudstrike/webserver.java |
修改isStager函数,只要不是92或者93就行。这里首先需要修改checksum8,将其返回值改为return sum
首先我们来看一张流程图
首先打开IDA进行查看
进入主函数,主要看sub_401840()函数进行查看
进入函数发现,首先获取系统时间戳,然后拼接字符串和创建线程通过管道读取shellcode,最后执行shellcode
我们使用CobaltStrike的时候,进行性的需要进行二次开发,使其对应的功能更加丰富,更加方便我们团队联合进行渗透的稳定性和隐蔽性。
IntelliJ IDEA
自带了一个反编译java的工具,有时候我们需要对cobaltstrike
的整个jar
包进行反编译,使用这个IntelliJ IDEA
双击之类的反编译时要是对整个源码层面进行搜索并不是很方便,可使用其自带的反编译工具,可以做到批量的整个反编译。这里先在
IntelliJ IDEA
安装目录找到java-decompiler.jar
拷贝到一个准备好的目录,并且新建两个文件,一个cs_bin
里面放未反编译的cobaltstrike
再建一个cs_src
文件,这个是空文件,是为了之后放反编译后的cobaltstrike
Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS, A-team详细介绍使用网址。CS是一款优秀的后渗透工具,可以在获取主机权限后进行长久权限维持,快速进行内网提权,凭据导出等。在后渗透中如果未修改特征,容易被流量审计设备监控,被蓝队溯源。
Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁 者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。在本手册的剩余部分中会 详细的讨论这些功能。