前段时间分享了PostExpKit插件的提权模块：简单好用的CobaltStrike提权插件，这次主要更新一些我认为比较实用的功能：1、2、3过部分防护场景，BOF合集见原项目，其他都是一些命令增强脚本......。

新版插件可在文末领取优惠券进星球下载，更多适用后渗透实战的脚本插件正在陆续测试，敬请期待..！

1、BadPotato创建线程执行shellcode

通过高权限Token创建线程执行shellcode获取SYSTEM，高权限操作需在当前线程执行，如果另起线程执行可能还是低权限，主要用于绕过某防护拦截创建进程等场景。

可参考星球文章：5.20 BadPotato绕过***核晶提权

2、官方Arsenal-kit免杀套件(20240125)

3、trustedsec、REDMED-X (BOF)项目

整合了几个国外Beacon对象文件(BOF)集合开源项目，可用于替代系统内置命令，避免AV/EDR的检测和拦截，具体命令功能及使用可以看原项目，下图为OperatorsKi。

4、CobaltStirke主机上线iOS Bark通知

5、better-upload增强内置upload命令

CobaltStirke内置upload命令只能上传文件到当前目录，需先cd到某个目录再上传，而使用better-upload.cna脚本的增强命令可以上传文件到指定目录，并获取该文件的MD5哈希，方便IOC跟踪。

6、Beacon信标执行命令日志可视化管理

使用Logvis.cna脚本记录已连接到CobaltStirke服务端用户的执行命令日志，记录的日志信息包括：

7、ls文件/文件夹、ps进程列表高亮显示

使用FilesColor.cna、ProcColor.cna俩个脚本可将执行ls、ps命令列出的文件/目录/进程根据其类型为其着色高亮显示，可在源码中根据需求自行修改和添加AV进程等数据源以及高亮显示颜色。

8、helpx为不同类型的可用命令高亮显示

加入潇湘信安知识星球

原文始发于微信公众号（潇湘信安）：PostExpKit - 20240423更新