二开CS—上线流量特征shellcode生成修改模板修改反编译打包

前言

免杀几乎讲的差不多了,今天讲个CS的二次开发。我们原生态的CS特征肯定都是被提取完的了,包括它的流量特征,而我们要做的就是把它的流量特征给打乱,还可以修改生成的后门,使其生成即免杀。

实验环境

CS4.4,JDK11

端口修改

这个简单,CS默认连接端口50050,我们修改一下配置文件,随便改个端口,不至于让别人一眼看出来是CS。编译teamserver文件,可以看到我们默认端口为50050,改个其它端口。

vim teamserver

保存上线,可以看到连接端口改为12345了。

环境部署

这里反编译的话我们用idea自带的工具,如果你用jdgui来进行反编译的话那么会卡住,因为这个CS的jar包还是挺大的,idea如何破解安装我就不讲了网上都有。

我们在idea的这个目录下D:\idea\IntelliJ IDEA 2024.2.4\plugins\java-decompiler\lib,找到java-decompiler.jar这个工具。

为了方便一点,直接把这个工具复制到cobaltstrike.jar同一目录下。

接着执行命令对我们的cobaltstrike.jar进行反编译,并且保存在cs_src目录下面。

java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dsg=true cobaltstrike.jar cs_src

运行完之后会在cs_src目录下面生成cobaltstrike.jar,此时我们对这个jar包进行解压的话生成的是.java文件。如果你没有进行反编译就把cobaltstrike.jar解压,那么生成的是.class文件,.class文件是加密过的啥也看不到。

把这个cobaltstrike.jar解压出来,可以看到很多文件,如果其它版本的CS4.8的话编译出来还有个cobaltstrike-client.jar,感觉搞得有点乱,所以这里用4.4老版本。

打开idea,创建一个名为CS的项目。

创建后在项目下新建立两个文件夹decompiled_src 和lib。

就将上面反编译出来的cobaltstrike.jar解压到decompiled_src,将cobaltstrike.jar 拷贝到lib。

然后点击文件—>项目结构—>模块—>依赖——>点击加号——>选择库——>选择Java。

选择我们刚刚复制到lib的cobaltstrike.jar。

记得勾选上。

再然后文件——>项目结构——>工件——>点击+——>JAR——>选择来自具有依赖项的模块。

这个主类可以在我们解压的cobaltstrike.jar—>META-INF—>MENIFEST.MF中找到,把名字复制上去就行。

我们在decompiled.src中找到Aggressor这个文件,然后右键选择重构——>复制类。

目标软件包我们填F:\CS\src\aggressor,要和原本的一致才行。

此时我们到src目录下面去看,发现Aggressor文件已经被复制过来了,然后这里记得把cobaltstrike.jar->META-INF->MENIFEST.MF的内容全部拷贝覆盖src->META-INF->MENIFEST.MF不然编译完成后运行会报错。

OK现在我们的环境部署已经差不多了,直接在src目录下的Aggressor.java中添加一句弹窗代码,如果报错就点击提示的导入类即可。

JOptionPane.showMessageDialog(null, "wlw");

接着我们点击构建——>构建工件——>构建。

然后就会生成一个out目录,我们编译成的jar包就在这里。

我们运行一下这个jar包,看看有没有弹窗,可以看到是有弹窗的。

java -jar CS.jar

流量特征消除

我们先生成一个上线的exe后门,然后运行上线,可以在这个web日志看到访问了os5E这个地址。

你去访问这个地址的话就会下载一个东西。

地址:8.149.xxx.xxx/os5E

我们重新生成一个exe看看这个地址是固定的还是随机的,可以看到现在访问的是JXDw,说明这是随机的。

我们用checksum8对这个四位字符进行解密。

public class EchoTest {public static long checksum8(String text) {if (text.length() < 4) {return 0L;}text = text.replace("/", "");long sum = 0L;for (int x = 0; x < text.length(); x++) {sum += text.charAt(x);}return sum % 256L;}public static void main(String[] args) throws Exception {System.out.println(checksum8("flJA"));}}

可以看到对JXDw的解密结果是93。

对os5E进行解密的结果为92。

CS中64位的后门上线之后,访问的地址也就是那四位字符解密为93,而32位解密结果为92,这就是CS的一个流量特征。那我们现在要做的就是把这个流量特征给去除掉,直接在源码里面搜一下92L,看看是那一部分的代码进行解密的。

在WebServer.java可以看到这里 isStagerX64返回了93, isStager则返回了92。

往上划一下还可以看到这个checksum8解密算法,我说白了其实就是一个换算。

那么我们现在对这个Webserver.java进行修改,上面说过如果要修改的话,必须要先把代码复制到F:\CS\src\这个目录里面,记得要在src目录下新建一个cloudstrike文件夹,要和原本的保持一致。

首先我们修改这个解密值,也就是说那四个字符解密之后不再是92或者93,而是其它的值。我这里是干脆把它写死,wlww的算法解密值为209,那么209就替换32位的值92,wlwwnb算法解密值为161,那么161就替换64位的值93,既然写死我们就顺便把它后面的替换字符给去掉。

光改这里还不行,我们还要去改那个调用checksum8的地方,直接搜checksum8好吧。在common目录下面的CommonUtils.java文件可以看两个方法,额,在java中函数叫做方法,妈的就它搞特殊。一个是返回92的函数,一个是返回93的函数。

现在我们把CommonUtils.java复制到src目录下,然后再对它进行修改。我们看一下代码逻辑,如果var2.toString()等于92就返回var2.toString()字符串,我们直接把它写死,就是当var2.toString()等于92就返回wlww,然后Webserver.java调用ckecksum8对wlww解密。

修改如下。

同理64位的修改如下。

我们对CommonUtils.java进行构建,发现会报错,我们直接把报错的代码给删除掉就行了。

重新重构即可,在out目录下面可以看到重构的CS.jar。

接着我们点击构建——>重新编译,分别对CommonUtils.java和Webserver.java重新编译一下子,来到out目录下面可以看到重新编译出来的文件。

我们把重新编译好的CommonUtils.java和Webserver.java文件,复制到CobaltStrike.jar里面,直接覆盖掉原有文件即可。重新编译会生成两个文件,记得都要替换。

覆盖完之后我们可以用jd-gui来看一下是否覆盖成功。

生成一个32位的后面,直接运行上线可以看到我们访问的地址是wlww,对应上我们修改的了,不再是随机生成的四位字符。

64位同样也是访问我们上面修改的地址,成功达到一个流量特征消除。

模板修改

写死

我们先生成一个power shell的payload,大家有没有想过为什么每次生成的payload都是差不多的呢。

然后我们发现有个名为resources的文件夹,如果熟悉java开发的都知道这个文件夹是用来存放一些资源啊或者模板啥的,需要的时候就去调用它。来到resources目录下,查看一个名为template.hint.x86.ps1的模板,此时你会发现和生成的powershell payload几乎一模一样。

唯一不同的就是这个DATA参数,每次生成都会传个新的参数过来base64解密,其余的都一样。

我们直接搜一下%%DATA%%这个参数,在ResourceUtils.java文件中可以看到如下函数,不难看出这里调用了template.hint这个模板,var2就是位数。接着通过CommonUtils.strrep把base64编码的var1替换给%%DATA%%,最后再return CommonUtils.toBytes(var5)生成一个power shell的payload。

OK,现在我们大概了解了它payload的生成,前期我们见过powershell的免杀,那我们是不是可以把这个生成模板换成我们做了免杀的powershell,让它生成即免杀。

直接把我们修改好的32位的powershell脚本替换掉原来的模板,可能你会考虑到DATA参数咋办,这里我是干脆把模板写死了,什么意思呢,就是我无论生成多少次32位的都是完全一样的。我这里只替换了32位的,因为64位的我还没进行处理,当然你也可以统统换成32位的,因为实战中位数的影响不是很大。

我们重新生成一个32位的powershell payload看看,可以看到是我们做了免杀之后的paylaod。我的建议是不懂java开发的话,直接把它写死即可。

不写死

把模板直接写死虽然方便,但是有个鸡肋的地方是就你换个监听器或者连接IP端口来生成就上线不了了,前面我们说过%%DATA%%参数会根据你的监听器或者IP啥的来生成,但是我们写死的话就没有%%DATA%%这个参数了,此时你换个TCP监听器来生成,但是生成的依旧是HTTPS监听器的payload,所以就上不了线。

现在我们要保留%%DATA%%这个参数,使我们无论怎么改生成的payload都可以上线。我们修改template.x86.ps1这个模板文件,但不对%%DATA%%进行修改,让$xx2变量去接受上线的%%DATA%%,对其他的代码进行编码。

由于我们还要对$xx2进行一次base64解码,那我们直接到生成%%DATA%%的文件,对%%DATA%%进行一次base64编码,在common目录下的ResourceUtils.java修改,修改完记得重新编译一下。

把修改好的文件覆盖掉cobaltstrike.jar原有的文件,同时跟新一下服务端。可以看到我们生成出来的payload是和我们设置的模板一样的,而且变量$xx2每次都是不一样的%%DATA%%参数,这样子我们无论怎么换监听器或者IP都可以滴。

shellcode生成修改

我们可以替换一下shellcode生成的模板,也就是让它生成就已经进行base64编码或者其他加密啥,如果你想想加上加载器让它一生成就免杀且可以直接用,也是可以的,但是需要java开发的知识,反正我不会。可以看到无论我们怎么生成都会有unsigned char buf[]这个玩意,我们直接搜它。

可以在encoders目录下的Transforms.java文件找到shellcode的生成代码。

我们直接对var0进行base64编码。

重新编译替换掉原来的文件,可以看到我们重新生成的shellcode是经过base64加密的。

exe生成修改

我们试想一下能不能让exe生成即免杀呢,答案是肯定的,因为在CS中exe的生成也是有模板滴。在resources目录下可以找打模板,这也是为啥生成的exe默认名字是artifact32。

我们用C32asm打开artifact32.exe可以看到有很多A字符,这其实就相当于空白区域,等我们生成的时候就加入监听器、端口、IP这些信息。

OK,要想exe实现生成即免杀,对简单的方法就是修改模板。记得我们前面说过的特征码修改吗,我们只需把模板exe的特征码打乱即可,这样就实现了生成即免杀,至于如何修改我就不演示了,有点麻烦说实话。

总结

要想深度地对CS进行二次开发的话,首先你要了解CS的代码流程,以及对java开发有基础才行。网上的文章也挺多的,不过要么只是浅浅地讲一下,要么就是我看不懂。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/465347.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

7.《双指针篇》---⑦三数之和(中等偏难)

题目传送门 方法一&#xff1a;双指针 1.新建一个顺序表用来返回结果。并排序数组。 2.for循环 i 从第一个数组元素遍历到倒数第三个数。 3.如果遍历过程中有值大于0的则break&#xff1b; 4.定义左右指针,以及target。int left i 1, right n - 1; int target -nums[i];…

Muse-Ant-Desgin-Vue 改造成 Vite+Vue3

后台地址&#xff1a;https://www.creative-tim.com/product/muse-vue-ant-design-dashboard?refantdv-official 一、配置 ViteAntDesginVue 配置ViteAntDesginVue ViteAntDesginVue配置&#xff1a;https://blog.csdn.net/qq_17523181/article/details/143241626 安装vue-ro…

实习作假:阿里健康实习做了RABC中台,还优化了短信发送流程

最近有二本同学说&#xff1a;“大拿老师&#xff0c;能帮忙看下简历吗&#xff1f;” 如果是从面试官的角度来看&#xff0c;这个同学的实习简历是很虚假的。 但是我们一直强调的是&#xff1a;校招的实习简历是不能出现明显的虚假。 首先&#xff0c;你去公司做事情&#…

疯狂Java讲义-Java基础类库

Java基础类库 本章思维导图 5-0Java基础类库.png 用户互动 使用Scanner获取键盘输入 Scanner主要提供了两个方法来扫描输入 hasNextXxx(); 是否还有下一个输入项&#xff0c;其中Xxx可以是int、long等代表基本数据类型的字符串。 nextXxx(); 获取下一个输入项。Xxx的含义与前一…

[前端] 为网站侧边栏添加搜索引擎模块

前言 最近想给我的个人网站侧边栏添加一个搜索引擎模块&#xff0c;可以引导用户帮助本站SEO优化&#xff08;让用户可以通过点击搜索按钮完成一次对本人网站的搜索&#xff0c;从而实现对网站的搜索引擎优化&#xff09;。 最开始&#xff0c;我只是想实现一个简单的百度搜索…

汇聚全球前沿科技产品,北京智能科技产业展览会·世亚智博会

在北京这座古老而又充满现代气息的城市中&#xff0c;一场科技与创新的盛宴正悄然上演——北京智能科技产业展览会&#xff08;简称&#xff1a;世亚智博会&#xff09;&#xff0c;作为全球前沿科技的汇聚地&#xff0c;不仅展示了人工智能、5G通信、虚拟现实等尖端技术的最新…

JAVA基础:数组 (习题笔记)

一&#xff0c;编码题 1&#xff0c;数组查找操作&#xff1a;定义一个长度为10 的一维字符串数组&#xff0c;在每一个元素存放一个单词&#xff1b;然后运行时从命令行输入一个单词&#xff0c;程序判断数组是否包含有这个单词&#xff0c;包含这个单词就打印出“Yes”&…

猎板PCB2到10层数的科技进阶与应用解析

1. 单层板&#xff08;Single-sided PCB&#xff09; 定义&#xff1a;单层板是最基本的PCB类型&#xff0c;导线只出现在其中一面&#xff0c;因此被称为单面板。限制&#xff1a;由于只有一面可以布线&#xff0c;设计线路上有许多限制&#xff0c;不适合复杂电路。应用&…

2025年山东省考报名流程图解

2025年山东公务员考试备考开始 为大家整理了从笔试到录用的全部流程&#xff0c;希望可以帮助到你们&#xff01;参考2024年山东省考公告整理&#xff0c;请以最新公告为准&#xff01; 一、阅读公告和职位表 二、职位查询 三、网上报名 四、确认缴费 五、网上打印准考证 六、参…

修改elementUI等UI组件样式的5种方法总结,哪些情况需要使用/deep/, :deep()等方式来穿透方法大全

文章目录 方法 1:全局修改样式示例:修改 `ElMessage` 的背景色和字体颜色方法 2:修改特定类型的 `ElMessage` 样式-全局-不需要穿透示例:修改 `ElMessage` 成功类型的样式方法 3:通过 Scoped CSS 在组件内部修改-局部-不需要穿透方法 4:使用 JavaScript 动态修改样式-不需…

pandas——对齐运算+函数应用

引言&#xff1a;对齐运算是数据清洗的重要过程&#xff0c;可以按索引对齐进行运算&#xff0c;如果没对齐的位置则补NaN&#xff0c;最后也可以填充NaN 一、Series的对齐运算 1.Series 按行、索引对齐 import pandas as pds1 pd.Series(range(10, 20), indexrange(10)) s2…

# Ubuntu 达人九步养成记(1)

Ubuntu 达人九步养成记&#xff08;1&#xff09; 目录&#xff1a; 一、ubuntu基本安装 二、设置语言环境 三、设置服务器镜像源 四、在启动栏添加终端图标 五、使用apt更新和升级系统软件 六、使用apt安装软件 七、使用apt删除软件以及apt-get 八、deb格式及谷歌浏览…

优选算法第五讲:位运算模块

优选算法第五讲&#xff1a;位运算模块 1.常见的位运算总结2.判断字符是否唯一3.丢失的数字4.两整数之和5.只出现一次的数字II6.消失的两个数字 1.常见的位运算总结 2.判断字符是否唯一 链接: link class Solution { public:bool isUnique(string astr) {if(astr.size() >…

计算机视觉算法真的难学吗?这些技巧让你轻松掌握

在当今这个数字化迅猛发展的时代&#xff0c;计算机视觉作为人工智能的重要分支&#xff0c;正在逐渐改变我们的生活和工作方式。很多人可能会觉得计算机视觉算法难以掌握&#xff0c;尤其是在面对复杂的数学和编程时&#xff0c;常常会感到无从下手。不过&#xff0c;实际上&a…

基于YOLO11/v10/v8/v5深度学习的老鼠智能检测系统设计与实现【python源码+Pyqt5界面+数据集+训练代码】

《------往期经典推荐------》 一、AI应用软件开发实战专栏【链接】 项目名称项目名称1.【人脸识别与管理系统开发】2.【车牌识别与自动收费管理系统开发】3.【手势识别系统开发】4.【人脸面部活体检测系统开发】5.【图片风格快速迁移软件开发】6.【人脸表表情识别系统】7.【…

机器学习—前向传播的一般实现

可以写一个函数来实现一个密集的层&#xff0c;那是神经网络的单层&#xff0c;所以定义稠密函数&#xff0c;它将上一层的激活作为输入以及给定层神经元的参数w和b。看下边图片所展示的例子&#xff0c;把所有这些权重向量堆叠成一个矩阵&#xff0c;wnp.array([[1,-3,5][2,4,…

高清烟花视频素材下载网站推荐

无论是庆祝节日、婚礼&#xff0c;还是各种欢庆活动&#xff0c;烟花总能瞬间点燃气氛&#xff0c;带来视觉上的震撼。在视频作品中加入绚丽的烟花瞬间&#xff0c;能够立刻提升画面的冲击力和节庆氛围。那么&#xff0c;高清烟花视频素材去哪下载呢&#xff1f;今天&#xff0…

Java异常体系结构

在Java编程中&#xff0c;异常处理是一个重要的概念。理解Java的异常体系结构以及如何捕获和处理异常&#xff0c;对于编写健壮的程序至关重要。本文将详细介绍Java异常体系结构的组成部分&#xff0c;以及异常的捕获和处理机制。 一、Java异常体系结构 Java的异常体系结构可以…

免费,基于React + ECharts 国产开源 IoT 物联网 Web 可视化数据大屏

文末查看开源项目地址 Light Chaser 是一款国产开源免费的基于 React18、Vite5、TypeScript5 技术栈实现的 Web 可视化大屏设计工具&#xff0c;支持Docker方式部署&#xff0c;支持MySQL、PostgreSQL、SQL Server、Oracle 数据源。 你可以简单快速地搭建数据可视化展示、数据报…

【解决】Pico 串流 Unity 开发环境 Preview 黑屏问题

开发平台&#xff1a;Unity 6.0 开发工具&#xff1a;Pico SDK   一、问题描述 在 Unity 开发环境下运行 测试 PicoVR 表现时&#xff0c;出现 Game视窗 PicoVR投屏 呈现黑屏效果。详细背景如下&#xff1a; UnitySwitch PlateformPICO Integration SDKPICO Live Preview6…