!
也想出现在这里? 联系我们
创意广告

cobaltstrike免杀过360和火绒

在免杀之前需要自己处理一下cobaltstrike的相关特征,和更新一下证书。不然虽然文件免杀了,可是上线的时候会有特征,会被火绒拦截。

具体参考以下文章
https://www.wangan.com/articles/1144
https://paper.seebug.org/1349/
https://cloud.tencent.com/developer/article/1688045

1、生成payload
首先我们先来生成一个32位的payload,这里我们的监听器使用http的方式,因为证书我没搞,所以就不用https的了.

2、编码
之后我们需要把这个shellcode转换为base64编码的格式,运行”cat payload.bin | base64 -w 0″;这样就可以得到编码后的shellcode。

3、js加载shellcode
我们下面就要用到一个js加载cs的shellcode的代码了,相关代码可以来这里下载: https://github.com/shenligang123/js-shellcode,我们需要利用的是CACTUSTORCH.js这个文件。
将生成的shellcode放在code参数里就可以了。

现在这种方式已经被查杀,我们再次利用js加密来实现免杀。
来这个网站https://www.sojson.com/jsobfuscator.html这里加密就行了。

图片[1]-cobaltstrike免杀过360和火绒-安全小天地

4、运行上线试试

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容