前言
4.9 尊享版在原版 Cobalt Strike 4.9 的基础上进行破解、二开和修复 BUG。
OneCS 4.9 移除了原版所有暗桩,增加大量体验优化:
- 进程浏览染色和进程识别
- 文件浏览染色
- 下载页面染色和优化
- IP 归属地显示
- 目标页面 note 增加多行显示
- 客户端汉化
- 文件浏览器功能增强以及大量优化,适配 CrossC2 插件
- 进程浏览功能增强
- 对话框描述自适应行数
- 更换纯真 IP 库为 Geoip2 IP 库
- beacon 右键信息查看
修复 BUG:
- 修复截图保存至本地为空
- 修复 cna 脚本 drow_listener 函数调用为空
- 修复网络断开重新加载时显示用户已连接的问题
- 修复 CrossC2 列出 /bin 目录闪退的 bug
- 截图浏览右键菜单 windows 10 bug 修复
- 其它的一些修改。
破解与编译
从网上泄露的原版 Cobalt Strike 4.9 进行破解。客户端 cobaltstrike-client.jar 破解使用网上公开密钥解密了 jar 内所有加密的资源文件,移除了源码中所有暗桩,服务端TeamServerImage 破解参考了 Pwn3rzs 的方式破解。third-party 目录下的 dll 为使用源码重新编译过的版本,可自行替换。
免杀生成
修改对beacon、artifact源码进行修改,目前可绕过火绒(支持x64)。使用方法:
直接选择Windows 可以执行程序(E)、Windows 可以执行程序(Stageless)按照默认Cobalt Strike生成办法生成即可。
通过配置profile文件,可以绕过火绒6执行命令。
适配 CrossC2
不能缓存已查看过的目录,每次切换都需要重新加载:
OneCS 这次更新适配了 CrossC2,会自动判断是文件浏览是处于 Windows 模式还是 Linux 模式,以自动转换 “/” 与 “\”,使其能正常显示,也能正常的切换目录,同时目录也能正常缓存,使用体验基本与 Windows 相同:
IP归属地显示
增加IP归属地显示,将listener移至最后一列:
更换 IP 库为 Geoip2 IP 库
对比两家的 IP 库的特点如下:
- 纯真 IP 库:不能直接获取到最新的 IP 数据源,IP 库比较小(仅 10 MB),但加载时间较长(10秒左右),IP 识别比较精确。
- Geoip2 IP 库:可直接从官网下载到最新的 IP 数据源,IP 库比较大(60 MB),加载迅速(1-2秒),国家省级别识别精确。
可以看出纯真 IP 库属于牺牲时间获取空间,Geoip2 IP 库属于牺牲空间换取时间的类型,Geoip2 IP 库用了一段时间感觉小范围精确到市的可能没纯真 IP 库准确但是也够用了,而且 Geoip2 IP 库加载速度更快。
beacon 右键信息查看
一个常见的场景是需要对上线的主机进行统计,需要复制上线 beacon 的主机名、用户名和 IP 等信息,但是 beacon 的信息不支持直接进行复制比较麻烦,因此增加一个按钮以方便复制信息。
等等其他大量优化;
四、使用
双击 cobaltstrike.vbs 启动 CS4.9,内部已包含 java1.8 环境:
获取下载:
推荐阅读
后记
XSS自动化水坑钓鱼
演示
参考链接
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
暂无评论内容