No problem
-
XSS.stack #1 – первый литературный журнал от юзеров форума
прочее Voila!! CobaltStrike 4.4 cracked[.]
- Автор темы r1z
- Дата начала
бро я пошутил)) ты меня с тс перепутал))
да вряд ли он так опыта наберется, там в кобальте юзается все что было актуально 2012-2015 году - имхо, а сейчас уже 2021 год...
я лично разбирал кобальт для поиска в нем уязвимостей, поэтому и есть в наличии столько подробной инфы...
интересно очень очень очень. отпиши в токс мб? или лучше в тг?да вряд ли он так опыта наберется, там в кобальте юзается все что было актуально 2012-2015 году - имхо, а сейчас уже 2021 год...
я лично разбирал кобальт для поиска в нем уязвимостей, поэтому и есть в наличии столько подробной инфы...
я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
- нужно было всего лишь протолкнуть статью до первого места но вас всех «переиграли» xDпосмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
Код:
byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6};
и большая часть кода удаляется вообще.но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
Код:
while(var3.length() < var2) {
if (this.watermark == 0) {
var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000");
} else {
var3.append((char)CommonUtils.rand(255));
}
}и дальше еще было сделано одно изменение:
Код:
protected static void Setup(byte[] var0) {
byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth");
B = new SleevedResource(authFileResource);
}из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
- всем добра и мира. 
Вот мужик!я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
посмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
decrypt - это массив данных где: 1, -55, -61, 127 - это дата окончания действия лицензии, а вот следующие четыре нуля - это и есть тот самый затертый watermarkКод:byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; и большая часть кода удаляется вообще.
но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
то есть можно было все что угодно кроме нулей, но получилось, как всегда, через... я об этом подробно писал в первой статье, но мы еще вернемся к моим статьям из конкурса чуть позже...Код:while(var3.length() < var2) { if (this.watermark == 0) { var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); } else { var3.append((char)CommonUtils.rand(255)); } }
и дальше еще было сделано одно изменение:
файл cobaltstrike.auth был спрятан в самом cobaltstrike.jar в директории resourcesКод:protected static void Setup(byte[] var0) { byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth"); B = new SleevedResource(authFileResource); }
из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
https://xss.pro/threads/51076/#post-327313 так было правильно?я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
посмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
decrypt - это массив данных где: 1, -55, -61, 127 - это дата окончания действия лицензии, а вот следующие четыре нуля - это и есть тот самый затертый watermarkКод:byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; и большая часть кода удаляется вообще.
но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
то есть можно было все что угодно кроме нулей, но получилось, как всегда, через... я об этом подробно писал в первой статье, но мы еще вернемся к моим статьям из конкурса чуть позже...Код:while(var3.length() < var2) { if (this.watermark == 0) { var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); } else { var3.append((char)CommonUtils.rand(255)); } }
и дальше еще было сделано одно изменение:
файл cobaltstrike.auth был спрятан в самом cobaltstrike.jar в директории resourcesКод:protected static void Setup(byte[] var0) { byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth"); B = new SleevedResource(authFileResource); }
из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
Спасибо за разумный ответ.я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
посмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
decrypt - это массив данных где: 1, -55, -61, 127 - это дата окончания действия лицензии, а вот следующие четыре нуля - это и есть тот самый затертый watermarkКод:byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; и большая часть кода удаляется вообще.
но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
то есть можно было все что угодно кроме нулей, но получилось, как всегда, через... я об этом подробно писал в первой статье, но мы еще вернемся к моим статьям из конкурса чуть позже...Код:while(var3.length() < var2) { if (this.watermark == 0) { var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); } else { var3.append((char)CommonUtils.rand(255)); } }
и дальше еще было сделано одно изменение:
файл cobaltstrike.auth был спрятан в самом cobaltstrike.jar в директории resourcesКод:protected static void Setup(byte[] var0) { byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth"); B = new SleevedResource(authFileResource); }
из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
Очень приятно после детских драк.
я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
посмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
decrypt - это массив данных где: 1, -55, -61, 127 - это дата окончания действия лицензии, а вот следующие четыре нуля - это и есть тот самый затертый watermarkКод:byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; и большая часть кода удаляется вообще.
но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
то есть можно было все что угодно кроме нулей, но получилось, как всегда, через... я об этом подробно писал в первой статье, но мы еще вернемся к моим статьям из конкурса чуть позже...Код:while(var3.length() < var2) { if (this.watermark == 0) { var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); } else { var3.append((char)CommonUtils.rand(255)); } }
и дальше еще было сделано одно изменение:
файл cobaltstrike.auth был спрятан в самом cobaltstrike.jar в директории resourcesКод:protected static void Setup(byte[] var0) { byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth"); B = new SleevedResource(authFileResource); }
из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
насчет byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; это такая байка уже))) раньше да, было дело меняля вроде-бы 1 , которая после 100 на 0. Шутка Рафика, которая, тем не менее стоила ему прилично. я тоже люблю шутить, да и ты вижу с юмором. в общем. скажи мне вот что: хотелось бы мне (можем сообразить на двоих. я - исключительно в научных целях) поменять весь слив. ну поменять то понятно. можно (и нужно) сделать рекомпиль самого джа... эм. главного зип-архива. пока у меня неплохо выходит с артифакт-китом. сам понимаешь - динамика - жизнь ;-) (иногда даже совсем неплохая))
со стороны кажется, что ты пытаешься меня троллить. XD
но если копать в эту сторону, то да, - это оно...
я не стал углубляться в детали (смотреть другие ссылки, видео etc), так как эта хистори мне не интересна - у нее слишком низкий уровень даже для того, чтобы узнать каков у сказочки конец, а тем более тратить на это время.
тут прикол в том, что юзалась (по всей видимости) для декомпиляции таже версия bytecode-viewer, что и у тебя на скрине (версия 2019 года), то есть они даже не удосужились обновиться... (подробнее см. ниже)
я еще подумал тогда, что явно очень древний декомпилер юзался, так как там очень много имен функций нераспознанно в коде, а это обычно происходит, когда юзается старый декомпиль, и чем больше в исходниках нераспознанных функций, - тем древнее будет версия декомпилятора.
и поэтому из-за такого древнего декомпиля на выходе и получился билд без яиц под названием Cracked and packed by #GhostSec
а если глянуть на сам код патча:
Код:
byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6};
DataParser dataParser = new DataParser(decrypt);
dataParser.big();
int int1 = dataParser.readInt();
this.watermark = dataParser.readInt();
if (dataParser.readByte() < 41) {
this.error = "Authorization file is not for CSer 4.1+";
return;
}видимо у пиндосов есть какой-то гайд, по которому они и делают эти кряки, и даже не в состоянии изучить (и проработать) более детально эту тему и создать нормальный и адекватный Cracked and packed... - имхо
здесь я в этой теме просто сделал акцент на EICAR для примера, а так-то я уже писал на эту тему в первой статье:
возможно, с вирустотала ноунеймы и будут детектить EICAR, так как там сидят индусы и круглосуточно в онлайне пилят детекты на все что запускается...
кстати, ту первую статью даже админ заигнорил - хз. видимо недостойным стафф оказался для данного форума.., хотя эта первая статья имеет прямое отношение к сабжу и его проблеме... лан пох... проехали... я уже смысла не вижу здесь постить свои статьи...
ну вообще-то, bytecode-viewer - это джарик (.jar) и поэтому его можно юзать и в Windows
https://github.com/Konloch/bytecode-viewer/releases/bytecode-viewer - эта тулуза нужна для сравнения результатов разлиных декомпиляторов: Java Decompiling with Six different decompilers (DJ-GUI/Core, Procyon, CFR, Fernflower, Krakatau, and JADX-Core).
большинство декомпиляторов Java в сущности имеют основу из Fernflower, так как Fernflower - это продукт постоянно обновляемый одной из компаний, которая является одним из лидеров на рынке Java
Существует много IDE для Java (Windows, GNU/Linux, MacOS), но лидер однозначно IntelliJ IDEA...
https://www.jetbrains.com/idea/whatsnew/ - узнать о возможностях IDE
https://www.jetbrains.com/idea/download/other.html - идем сюда и выбераем нужную версию; Windows ZIP Archive (zip) - это портабельная версия, которую нужно настроить для запуска...
в директории plugins\java-decompiler\lib - там будет находится java-decompiler.jar
Код:
java.exe -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -hdc=0 -dgs=1 -rsy=1 -lit=1 ./cobaltstrike.jar ./src
pauseна выходе получим .\src\cobaltstrike.jar - это и будут исходники; jar-файл в котором находятся исходники, так по умолчанию декомпилятор создает исходники в jar
https://xss.pro/threads/56388/ - да и здесь вроде как уже они и сбилдили что-то рабочее...
Да не бро, тебе показалось XD =) просто рад за то, что есть норм парни) а не плачущие антибашевцы ;-)@DartVaider со стороны кажется, что ты пытаешься меня троллить. XD
если гдето будешь постить статьи дай знать, почитаю с удовольствием. да и вообще респект таким парням.
по сабжу - ля какой тушканчик мелочный. готов гузку за горстку грина подставить. мда
Последнее редактирование:
r1z please share jar. i have liked but too late for vote ty
ty- Автор темы
- Добавить закладку
- #255
thank you r1z
can i get added also, i liked and voted a while ago
- Автор темы
- Добавить закладку
- #258
Enjoy;
Скрытый контент для пользователей: joren.
add me pls?)
r1z do you mind add me to? Would like to compare our versions.