Home

Awesome

1135-CobaltStrike-ToolKit

Malleable C2 Files

Cobalt Strike的Malleable C2配置文件,被设计用来对抗流量分析。

Cobalt Strike的Malleable C2配置文件,定义了 victim 与 团队服务器 之间的C2通信流量的“通信格式规范和方式”。

通过将C2流量伪装成"正常流量"。以避免直接被NIDS、SOC系统识别为异常流量,可能迷惑安全运营人员。

具体说明

Malleable C2 profilecs version描述
jquery.xxx.js_CN_cdn.bootcss.com_for_cs3.14_.txt3.12 3.14伪装成正常HTTP流量: 浏览器与web服务器之间的流量.
jquery.xxx.js_code.bootcdn.net_for_cs4.0_.txt4.0伪装成正常HTTP流量: 浏览器与web服务器之间的流量.

建议自行修改 Malleable C2 profile.


AggressorScripts

AggressorScripts - 修改或扩展Cobalt Strike 3.* 的客户端功能(可实现自定义菜单创建,日志记录,权限维持等)。

更多参考官方介绍Aggressor Script Tutorial and Reference

具体说明

filenameopsecdescdemo
BeaconNote.cna1某个Beacon首次上线时 设置这个Beacon的note为Beacon ID + 首次上线时间bid: 86985 Established: 11/13/2019 16:50:19 (CST)
BeaconNotify.cna1某个Beacon首次上线时 将这个Beacon的完整信息都发送到指定的Slack Channel 配置你的Slack webhookshost/User/beaconID/os/ver/PID/external IP/internal IP...
LoopDo.cna0每隔x分钟执行一次操作按时执行 自定义cmd命令/屏幕截图/logonpasswords/...

补充说明

teamserver服务器日志 - 文件夹cobaltstrike/logs/{date}/{ip}

Log Typeextlocation
Beacon命令行 所有内容.log/cobaltstrike/logs/191107/10.10.13.19/becon_71256.log
屏幕截图.jpg/cobaltstrike/logs/191107/10.10.13.19/screenshots/screen_050658_87924.jpg

Others

author/filenameopsecdescdemo
Cobalt Strike ZeroLogon-BOF?ZeroLogon CVE-2020-1472
outflanknl/Ps-Tools PS-Tools.cna?列出进程的详细信息5种命令psx psk psc psm psh psw
https://github.com/rsmudge/ElevateKit?官方推荐 多个较新的提权漏洞exp. 版本要求: for Cobalt Strike 3.6 and later.