• XSS.stack #1 – первый литературный журнал от юзеров форума

прочее Cobalt Strike 4.3 [17.03] - custom

Отслеживать
x4k

x4k

6767694e 61635361 72656d6d 0a Li-En
КИДАЛА
Регистрация
29.05.2020
Сообщения
292
Реакции
401
Пожалуйста, обратите внимание, что пользователь заблокирован
В общем то исправлено всего два файла. Поправил несправедливость в виде строчки EICAR (подробнее https://xss.pro/threads/51076/#post-328951). Так же убрал ненужные апдейт ридми и пр. Пожалуйста =)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Сорян =) Ральф уже совсем не тот =) заменил "баг-фикс" от 17 марта на старую, рабочую =) в этой не работает нихера =) ссылка та же)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну х.с.ним =) Выкладываю СВОЙ билд =) в папке custom подключаем через скрипт-менеджер .cna = получаем нехилые аддоны) плюс компилированные артифакты с reloctables =) https:'//repo.x4k.dev/cobalt_xss.is .пасс xss.pro
 
Последнее редактирование:
x4k сказал(а):
Ну х.с.ним =) Выкладываю СВОЙ билд =) в папке custom подключаем через скрипт-менеджер .cna = получаем нехилые аддоны) плюс компилированные артифакты с reloctables =) https:'//repo.x4k.dev/cobalt_xss.is .пасс xss.pro
А какие конкретно аддоны?
 
Пожалуйста, обратите внимание, что пользователь заблокирован

типа того ;-)
 
x4k сказал(а):

типа того ;-)
Большое спасибо за все аддоны в одном месте) Можно узнать, что за скрипт на видео, который подгружает wrapper, делает учетку и переносит на неё данные, после чего подключается по рдп?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
oprorornmewo сказал(а):
Большое спасибо за все аддоны в одном месте) Можно узнать, что за скрипт на видео, который подгружает wrapper, делает учетку и переносит на неё данные, после чего подключается по рдп?

о это великий и могучий, как называют некоторые приват =) просто показал что все возможно) скрипт кстати не только подгружает, как вы выразились) но так же сносит деф, да, переносит учетку, делает ее скрытой, а самое главное он же разбирает, в данном случае тг на ресурсы, собирает заново, но на 50кб тяжелее) с персистенс естественно) стоит ли говорить, что пэйлоады, которые подргужаются юзеру впоследстии каждый раз при ребуте - одноразовые, т.е. при загрузке = использовании - его можно выкинуть??? подскажу, тут просто - на редиректоре (мод-реврайт естественно) поднят простенький хттп-сервер на пайтоне, который получает в свою дб ключи, которые получают свежеиспеченные вкучняшки, будучи раз использованный ключ, сервер тут же удаляет, таким образом вкусняшка превращается в использованную вкусняшку)) и естественно достигается "неплохая" живучесть биконов) к тому же биконы (сейчас при тестах эти функции пока отключил) имеют в своем скомном арсенале (имею ввиду стейджеры) проверку на песок: кол-во юсб портов, собственное местоположение в системе (в песке вся сисстема в c:\programdata), ну про амси-скан-буф и остальные шалости говорить не стоит) такой вот он. кобальт - это охуительная среда разработки и очень крутой инструмент в руках не из жопы. тут недавно один стучался в жабу и просился предоставить "ВЕСЬ" кобальт =))) так вот "аддоны" - это такие же скрипты от таких же как я и ты. замечу, что предпочитаю китайские - China - перевел только половину. хотя очень облегчает некоторые задачи. кстати и про рдп у меня в custom немало)) все в твоих руках)
 
x4k сказал(а):
о это великий и могучий, как называют некоторые приват =) просто показал что все возможно) скрипт кстати не только подгружает, как вы выразились) но так же сносит деф, да, переносит учетку, делает ее скрытой, а самое главное он же разбирает, в данном случае тг на ресурсы, собирает заново, но на 50кб тяжелее) с персистенс естественно) стоит ли говорить, что пэйлоады, которые подргужаются юзеру впоследстии каждый раз при ребуте - одноразовые, т.е. при загрузке = использовании - его можно выкинуть??? подскажу, тут просто - на редиректоре (мод-реврайт естественно) поднят простенький хттп-сервер на пайтоне, который получает в свою дб ключи, которые получают свежеиспеченные вкучняшки, будучи раз использованный ключ, сервер тут же удаляет, таким образом вкусняшка превращается в использованную вкусняшку)) и естественно достигается "неплохая" живучесть биконов) к тому же биконы (сейчас при тестах эти функции пока отключил) имеют в своем скомном арсенале (имею ввиду стейджеры) проверку на песок: кол-во юсб портов, собственное местоположение в системе (в песке вся сисстема в c:\programdata), ну про амси-скан-буф и остальные шалости говорить не стоит) такой вот он. кобальт - это охуительная среда разработки и очень крутой инструмент в руках не из жопы. тут недавно один стучался в жабу и просился предоставить "ВЕСЬ" кобальт =))) так вот "аддоны" - это такие же скрипты от таких же как я и ты. замечу, что предпочитаю китайские - China - перевел только половину. хотя очень облегчает некоторые задачи. кстати и про рдп у меня в custom немало)) все в твоих руках)
Ну, как работает я знаю, враппер без отключенного дефа не поставится, благо инструментов для его уничтожения хватает, и остаётся только получить привилегии, сделать скрытую учетку, перенести на неё юзерданные браузера и пользоваться, опционально можно и без создания учетки, скрысить нтлм-хеш и тем же мимикацем использовать его для подключения по рдп к shadow-сессии того же пользователя, но вот руками всё это делать очень муторно) Если бы я умел писать скрипты, я бы конечно всё это совместил, но я не пробовал) Давно мечтаю чтобы одной кнопкой всё это делалось, поднимался прокси и само подключалось к рабочему столу, попутно можно еще в браузере чтобы открывало все нужные сайты))
В любом случае, благодарю за билд.

Еще я смотрел в сторону обфускации враппера, так как простейшие антивирусы тоже его палят, но не нашел вариантов, точнее, как-то забил.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
oprorornmewo сказал(а):
Ну, как работает я знаю, враппер без отключенного дефа не поставится, благо инструментов для его уничтожения хватает, и остаётся только получить привилегии, сделать скрытую учетку, перенести на неё юзерданные браузера и пользоваться, опционально можно и без создания учетки, скрысить нтлм-хеш и тем же мимикацем использовать его для подключения по рдп к shadow-сессии того же пользователя, но вот руками всё это делать очень муторно) Если бы я умел писать скрипты, я бы конечно всё это совместил, но я не пробовал) Давно мечтаю чтобы одной кнопкой всё это делалось, поднимался прокси и само подключалось к рабочему столу, попутно можно еще в браузере чтобы открывало все нужные сайты))
В любом случае, благодарю за билд.

Еще я смотрел в сторону обфускации враппера, так как простейшие антивирусы тоже его палят, но не нашел вариантов, точнее, как-то забил.
типа того ;) осталось 1) найти эксплоит повышающий права. 2)применить его, чтобы не спалил деф или другие ав 3) перед этим занести "заразу" опять же не спалившись 4) придумать как организовать реверс пивот (или заебаться с pfrwd внутри машины) 5)... ну ты понял =)
 
x4k сказал(а):
типа того ;) осталось 1) найти эксплоит повышающий права. 2)применить его, чтобы не спалил деф или другие ав 3) перед этим занести "заразу" опять же не спалившись 4) придумать как организовать реверс пивот (или заебаться с pfrwd внутри машины) 5)... ну ты понял =)
для реверса я вижу знакомый frpc в аддонах)) Ну а так как большинство моих целевых пользователей используют админские учетки на домашних пк, основная часть проблем снимается и лежит уже в стороне uac bypassов, которых тоже хватает.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
oprorornmewo сказал(а):
для реверса я вижу знакомый frpc в аддонах)) Ну а так как большинство моих целевых пользователей используют админские учетки на домашних пк, основная часть проблем снимается и лежит уже в стороне uac bypassов, которых тоже хватает.
зер гут амиго =) еще немного и придется поделиться с тобой чудесными биконами с 1-2 детектами =) эрудиция - очень очень хорошо!
 
x4k сказал(а):
зер гут амиго =) еще немного и придется поделиться с тобой чудесными биконами с 1-2 детектами =) эрудиция - очень очень хорошо!
А sharpdoor в аддонах - содержит новые оффсеты, или только старые 2019 года? :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
хз. есди бы я их все перебирал я б наверное помер. я делаю так:
xi6zHDG.png
 
Последнее редактирование:
x4k сказал(а):
хз. есди бы я их все перебирал я б наверное помер. я делаю так:
xi6zHDG.png
Имею в виду последовательность байт для патчинга в шарпдор. Который аналог рдп Враппера, но на шарпе и просто патчит termsrv, открывая concurrent режим. Termsrv каждый апдейт меняется, и для каждой версии свой патч.
 
ZeroTolerance сказал(а):
how do you even start cobalt strike bro? sorry i never used linux before

Starting Cobalt Strike - Cobalt Strike

Cobalt Strike is threat emulation software. Red teams and penetration testers use Cobalt Strike to demonstrate the risk of a breach and evaluate mature security programs. Cobalt Strike exploits network vulnerabilities, launches spear phishing campaigns, hosts web drive-by attacks, and generates...
www.cobaltstrike.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Обновил до cs 4.3 . Ссылка та же. Пасс такой же. Плюс прибавил несколько скриптов. Плюс официальный мануал. В общем полный набор =)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну тс, ну даёшь. Версию от 17 марта то выложил свою, но оставил неисправленными те два класса, про которые статью писал, или это квест для халявщиков ctrl+C ctrl+V?) :D
(Ни в коем случае не доебываюсь, а наоборот благодарен за твои посты)


P.S. Позволю себе попросить помощи. Запускаю тимсервер (все норм удалив .store), и не хочет к нему коннектиться вообще. Скрины прилагаю
(Ошибка в тимсервере вылазит после коннекта по 0.0.0.0)
 

Вложения

  • InkedScreenshot_3_LI.jpg
    InkedScreenshot_3_LI.jpg
    54.9 КБ · Просмотры: 53
  • InkedScreenshot_4_LI.jpg
    InkedScreenshot_4_LI.jpg
    109.3 КБ · Просмотры: 53
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
запускай не через hook - это раз. два - классы не нуждаются тут в чистке. поправлена сама лицензия.

2021-05-06_17-03.png
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх