https://www.bilibili.com/video/BV1P64y1f7e1?p=5
Cobalt Strike 用戶驅動攻擊包
Attack Packages
HTML Application
首先打開Attack->Packages->HTML Application, 選擇好監聽器,
這里的攻擊方式有三種分別是,Executable(可執行檔案), Powershell,VBA(宏代碼攻擊)
Executable 基于Windows二進制編程的可執行檔案,
PowerShell 基于Powershell撰寫的可執行檔案,
VBA 基于Visual Basic的一種宏語言的可執行檔案,
點擊生成,將生成好的檔案保存到檔案夾中,然后拖到目標機器上執行,或者開啟Web服務給目標主機下載執行
MS Office Macro
Windows OFFice宏病毒檔案
選擇好監聽器之后,會有一個操作步驟提示,然后點擊下方的按鈕復制代碼,
然后就是一大串office宏病毒代碼
Payload Generator
生成各種語言版本的payload
這里我們選擇PowerShell,也可以根據你當時目標環境選擇其他語言的payload
Windows Executable (stager)
stager其實是一段很簡單的加載器,是socketedi協議請求的一段shellcode,它的作用是向teamserver(C2)請求一段資料,這些資料前是個位元組是shellcode的長度,后面是shellcode,接收到資料后跳轉到shellcode所在的記憶體處開始運行,
和上面類似一樣選擇listener,然后生成,再拖到目標機器上執行
Windows Executable Stageless
stage是無階段的stager,可以直接理解成,stage是stager與它所請求的資料的集合體,stage比stager更安全,但是體積更大,而且在內網穿透的時候基本只能用stage,用stager會十分麻煩,stager是分段傳輸payload的,使用stager有時候會導致目標無法上線,stage唯一的缺點是相比較而言體積比較大,
stager其實是一段很簡單的加載器,是socketedi協議請求的一段shellcode,它的作用是向teamserver(C2)請求一段資料,這些資料前是個位元組是shellcode的長度,后面是shellcode,接收到資料后跳轉到shellcode所在的記憶體處開始運行,
參考
https://my.oschina.net/u/4256357/blog/4698515
http://www.scantime.cn/?p=317
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/267324.html
標籤:其他