前段时间分享了PostExpKit插件的提权模块:简单好用的CobaltStrike提权插件,这次主要更新一些我认为比较实用的功能:1、2、3过部分防护场景,BOF合集见原项目,其他都是一些命令增强脚本......。
这里我只是简单介绍下,具体的需大家自行测试,如在实战测试中发现问题欢迎在星球反馈交流。
1、BadPotato创建线程执行shellcode
2、官方Arsenal-kit免杀套件(20240125)
3、trustedsec、REDMED-X (BOF)项目
4、CobaltStirke主机上线iOS Bark通知
5、better-upload增强内置upload命令
6、Beacon信标执行命令日志可视化管理
7、ls文件/文件夹、ps进程列表高亮显示
8、helpx为不同类型的可用命令高亮显示新版插件可在文末领取优惠券进星球下载,更多适用后渗透实战的脚本插件正在陆续测试,敬请期待..!
1、BadPotato创建线程执行shellcode
通过高权限Token创建线程执行shellcode获取SYSTEM,高权限操作需在当前线程执行,如果另起线程执行可能还是低权限,主要用于绕过某防护拦截创建进程等场景。
可参考星球文章:5.20 BadPotato绕过***核晶提权
2、官方Arsenal-kit免杀套件(20240125)
使用Arsenal-kit免杀套件主要是为了免杀提权模块部分功能所需的dll文件,避免落地被秒杀的情况,其他的免杀效果可能不太理想,还需自行做下免杀处理。
可参考文章:Arsenal-kit免杀套件编译与测试
3、trustedsec、REDMED-X (BOF)项目
整合了几个国外Beacon对象文件(BOF)集合开源项目,可用于替代系统内置命令,避免AV/EDR的检测和拦截,具体命令功能及使用可以看原项目,下图为OperatorsKi。
https://github.com/REDMED-X/OperatorsKit
https://github.com/trustedsec/CS-Situational-Awareness-BOF
https://github.com/trustedsec/CS-Remote-OPs-BOF
4、CobaltStirke主机上线iOS Bark通知
使用iOS的Bark APP接收主机上线通知,只需在BarkBot.cna脚本填入key即可,不需要上线通知时可将@curl_command注释掉,否则火绒可能会拦截curl。
可参考文章:CobaltStirke主机上线Bark通知
5、better-upload增强内置upload命令
CobaltStirke内置upload命令只能上传文件到当前目录,需先cd到某个目录再上传,而使用better-upload.cna脚本的增强命令可以上传文件到指定目录,并获取该文件的MD5哈希,方便IOC跟踪。
beacon> upload C:\ProgramData\beacon_x64.exe C:\Windows\debug\WIA\beacon_x64.exe
beacon> upload C:\ProgramData\beacon_x64.exe \\DC1\C$\ProgramData\beacon_x64.exe
6、Beacon信标执行命令日志可视化管理
使用Logvis.cna脚本记录已连接到CobaltStirke服务端用户的执行命令日志,记录的日志信息包括:
operator、ip、hostname、user、pid、command、timestamp
7、ls文件/文件夹、ps进程列表高亮显示
使用FilesColor.cna、ProcColor.cna俩个脚本可将执行ls、ps命令列出的文件/目录/进程根据其类型为其着色高亮显示,可在源码中根据需求自行修改和添加AV进程等数据源以及高亮显示颜色。
8、helpx为不同类型的可用命令高亮显示
使用HelpColor.cna脚本列出可用CobaltStrike信标命令并根据其类型为其着色高亮显示,作者@outflanknl在上个月更新了@TrustedSec的SA和Remote Ops BOFs命令,等有时间去加下OperatorsKit命令。
新版插件可在下方领取优惠券进星球下载,更多适用后渗透实战的脚本插件正在陆续测试,敬请期待..!
