• XSS.stack #1 – первый литературный журнал от юзеров форума

Нужно пару советов по Cobalt Strike v4.0

Отслеживать
Det

Det

RAID-массив
Пользователь
Регистрация
05.09.2019
Сообщения
79
Реакции
30
Добрый день господа.
Мне нужно пару советов как можно сделать модификацию этого кода.
Код: 
$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("%%DATA%%"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();
Кто может помочь пишите сюда или мне в телеграм: @PiratesCorp
 
В том коде, что ты кинул, нет палева.
Вся суть в этом.
[Convert]::FromBase64String("%%DATA%%")
Шаблонизатор кобальта подставляет payload накрытый base64+gzip в место %%DATA%%. Так создаётся «билд». И после этого получаемый контент достаётся из блоба и инвокается с помощью алиаса Invoke-Expression. Важен тот контент, который кобальт подставляет в шаблон. Контент виден аверу посредством AMSI буфера, который передаётся самим же повершеллом на чек перед исполнением. Так что в том, что ты скинул, никакого смысла нет(нечего прятать и обфусцировать). Нужно обфусцировать и работать над тем, что прокидывается в DATA
 
Последнее редактирование:
Haunt сказал(а):
В том коде, что ты кинул, нет палева.
Вся суть в этом.
[Convert]::FromBase64String("%%DATA%%")
Шаблонизатор кобальта подставляет payload накрытый base64+gzip в место %%DATA%%. Так создаётся «билд». И после этого получаемый контент достаётся из блоба и инвокается с помощью алиаса Invoke-Expression. Важен тот контент, который кобальт подставляет в шаблон. Контент виден аверу посредством AMSI буфера, который передаётся самим же повершеллом на чек перед исполнением. Так что в том, что ты скинул, никакого смысла нет(нечего прятать и обфусцировать). Нужно обфусцировать и работать над тем, что прокидывается в DATA
Напиши статью про это для конкурса.Обфускация пэйлоада CS,Empire и других PS пэйлоадов.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DrSleep сказал(а):
Напиши статью про это для конкурса.Обфускация пэйлоада CS,Empire и других PS пэйлоадов.
Он же на прошлом конкурсе писал статью на счет морфера по С++, а получилось по пш :D
Там основывается морфинг на уровне сорцов, при помощи мат выражений, после сбитие графа и в конце добавил создание своей ВМ, чтоб еще одним слоем накрыть.
 
heybabyone сказал(а):
Он же на прошлом конкурсе писал статью на счет морфера по С++, а получилось по пш :D
Там основывается морфинг на уровне сорцов, при помощи мат выражений, после сбитие графа и в конце добавил создание своей ВМ, чтоб еще одним слоем накрыть.
Я изначально писал про пш. Но вся моя статья это был просто коммент в обычном топе, где какой то человек спросил, какие способы есть для с++. Я на примере пш привёл. Потом понял, что расписал много и вроде неплохо и попросил админа мой коммент запостить как статью на конкурс. А в качестве имени статьи сохранилось имя оригинального топа, где чел спрашивал про с++(не я названия темы ставил)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Я изначально писал про пш. Но вся моя статья это был просто коммент в обычном топе, где какой то человек спросил, какие способы есть для с++. Я на примере пш привёл. Потом понял, что расписал много и вроде неплохо и попросил админа мой коммент запостить как статью на конкурс. А в качестве имени статьи сохранилось имя оригинального топа, где чел спрашивал про с++(не я названия темы ставил)
А так, твоя статья показала хороший концепт, как можно морфить сорцы. И не важно, пш, си, ++
И не понимаю, почему у некоторых горело на том, что заголовок плюсы, а код на пш)
По сути на держи идею и делай на своем языке
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх