Cobalt Strike從入門到精通之用戶驅動***包

https://www.bilibili.com/video/BV1P64y1f7e1?p=5

Cobalt Strike 用戶驅動***包

Attack Packages

HTML Application

首先打開Attack->Packages->HTML Application, 選擇好監聽器。

這裏的***方式有三種分別是，Executable(可執行文件), Powershell,VBA(宏代碼***)

Executable 基於Windows二進制編程的可執行文件。

PowerShell 基於Powershell編寫的可執行文件。

VBA 基於Visual Basic的一種宏語言的可執行文件。

點擊生成，將生成好的文件保存到文件夾中，而後拖到目標機器上執行,或者開啓Web服務給目標主機下載執行

MS Office Macro

Windows OFFice宏病毒文件

選擇好監聽器以後，會有一個操做步驟提示，而後點擊下方的按鈕複製代碼。

而後就是一大串office宏病毒代碼

Payload Generator

生成各類語言版本的payload

這裏咱們選擇PowerShell，也能夠根據你當時目標環境選擇其餘語言的payload

Windows Executable (stager)

stager實際上是一段很簡單的加載器，是socketedi協議請求的一段shellcode，它的做用是向teamserver(C2)請求一段數據，這些數據前是個字節是shellcode的長度，後面是shellcode。接收到數據後跳轉到shellcode所在的內存處開始運行。

和上面相似同樣選擇listener，而後生成，再拖到目標機器上執行

Windows Executable Stageless

stage是無階段的stager，能夠直接理解成，stage是stager與它所請求的數據的集合體。stage比stager更安全，可是體積更大。並且在內網穿透的時候基本只能用stage，用stager會十分麻煩，stager是分段傳輸payload的，使用stager有時候會致使目標沒法上線。stage惟一的缺點是相比較而言體積比較大。

stager實際上是一段很簡單的加載器，是socketedi協議請求的一段shellcode，它的做用是向teamserver(C2)請求一段數據，這些數據前是個字節是shellcode的長度，後面是shellcode。接收到數據後跳轉到shellcode所在的內存處開始運行。

參考

http://www.scantime.cn/?p=317