PostExpKit |
您所在的位置:网站首页 › cs上线提醒 › PostExpKit |
前段时间分享了PostExpKit插件的提权模块:简单好用的CobaltStrike提权插件,这次主要更新一些我认为比较实用的功能:1、2、3过部分防护场景,BOF合集见原项目,其他都是一些命令增强脚本......。 这里我只是简单介绍下,具体的需大家自行测试,如在实战测试中发现问题欢迎在星球反馈交流。 1、BadPotato创建线程执行shellcode2、官方Arsenal-kit免杀套件(20240125)3、trustedsec、REDMED-X (BOF)项目4、CobaltStirke主机上线iOS Bark通知5、better-upload增强内置upload命令6、Beacon信标执行命令日志可视化管理7、ls文件/文件夹、ps进程列表高亮显示8、helpx为不同类型的可用命令高亮显示新版插件可在文末领取优惠券进星球下载,更多适用后渗透实战的脚本插件正在陆续测试,敬请期待..! 1、BadPotato创建线程执行shellcode 通过高权限Token创建线程执行shellcode获取SYSTEM,高权限操作需在当前线程执行,如果另起线程执行可能还是低权限,主要用于绕过某防护拦截创建进程等场景。 可参考星球文章:5.20 BadPotato绕过***核晶提权 2、官方Arsenal-kit免杀套件(20240125) 使用Arsenal-kit免杀套件主要是为了免杀提权模块部分功能所需的dll文件,避免落地被秒杀的情况,其他的免杀效果可能不太理想,还需自行做下免杀处理。 可参考文章:Arsenal-kit免杀套件编译与测试3、trustedsec、REDMED-X (BOF)项目 整合了几个国外Beacon对象文件(BOF)集合开源项目,可用于替代系统内置命令,避免AV/EDR的检测和拦截,具体命令功能及使用可以看原项目,下图为OperatorsKi。 https://github.com/REDMED-X/OperatorsKithttps://github.com/trustedsec/CS-Situational-Awareness-BOFhttps://github.com/trustedsec/CS-Remote-OPs-BOF4、CobaltStirke主机上线iOS Bark通知 使用iOS的Bark APP接收主机上线通知,只需在BarkBot.cna脚本填入key即可,不需要上线通知时可将@curl_command注释掉,否则火绒可能会拦截curl。 可参考文章:CobaltStirke主机上线Bark通知5、better-upload增强内置upload命令 CobaltStirke内置upload命令只能上传文件到当前目录,需先cd到某个目录再上传,而使用better-upload.cna脚本的增强命令可以上传文件到指定目录,并获取该文件的MD5哈希,方便IOC跟踪。 beacon> upload C:ProgramDatabeacon_x64.exe C:WindowsdebugWIAbeacon_x64.exebeacon> upload C:ProgramDatabeacon_x64.exe \DC1C$ProgramDatabeacon_x64.exe6、Beacon信标执行命令日志可视化管理 使用Logvis.cna脚本记录已连接到CobaltStirke服务端用户的执行命令日志,记录的日志信息包括: operator、ip、hostname、user、pid、command、timestamp7、ls文件/文件夹、ps进程列表高亮显示 使用FilesColor.cna、ProcColor.cna俩个脚本可将执行ls、ps命令列出的文件/目录/进程根据其类型为其着色高亮显示,可在源码中根据需求自行修改和添加AV进程等数据源以及高亮显示颜色。 8、helpx为不同类型的可用命令高亮显示 使用HelpColor.cna脚本列出可用CobaltStrike信标命令并根据其类型为其着色高亮显示,作者@outflanknl在上个月更新了@TrustedSec的SA和Remote Ops BOFs命令,等有时间去加下OperatorsKit命令。 新版插件可在下方领取优惠券进星球下载,更多适用后渗透实战的脚本插件正在陆续测试,敬请期待..!加入潇湘信安知识星球 五一假期活动发放51张59元优惠券,现星球门票仅需109元,活动结束后恢复原价:400-600名: 128¥、600-800名: 148¥、800-1000+名: 168¥ ......原文始发于微信公众号(潇湘信安):PostExpKit - 20240423更新 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |