CobaltStrike3.12/13 破解

更新3.13破解版

連接: https://pan.baidu.com/s/14e0tpVPzUhiAhYU2_jvBag 提取碼: d9uf

MacOS客戶端：

連接: https://pan.baidu.com/s/1h8KwLQ58I-P58tdbz7z3QA 提取碼: 8sae

 

 

 

一.CobaltStrike3.12下載

校驗：https://verify.cobaltstrike.com/

xor.bin：https://github.com/verctor/CS_xor64

github上由於DMCA不能上傳了，這裏給個網盤連接：

連接：https://pan.baidu.com/s/1n6h2w5j0TCx9GnnC5Z7gZg

提取碼：1sxu 

注意：

一開始放的版本CSDN破解時沒注意，EICAR指紋沒有清除乾淨，主要存在於這三個文件：

common.ListenerConfig
resources/template.x64.ps一、resources/template.x86.ps1

網盤連接是已經更新的，能夠替換cobaltstrike.jar文件。或者自行對此三個文件進行反編譯修改。

 

附一些教程

官方教程中文字幕

YouTube 英文教程

連接：https://pan.baidu.com/s/1_ClGEELSHzXNC6PAEVcUVA 

提取碼：iunr 

二.破解記錄

關鍵文件位置

aggressor/dialogs/ListenerDialog.class
common/ArtifactUtils.class
common/License.class
server/ProfileEdits.class
resources/xor.bin
resources/xor64.bin
common.ListenerConfig
resources/template.x64.ps一、resources/template.x86.ps1

 

License

兩種破解思路

（1）直接改試用時間

private static long life = 99999L;

（2）修改isTrail的判斷邏輯

把這裏的true改成false

public static boolean isTrial()
  {
    return true;
  }

 

把這兩個函數中的內容刪掉，啓動時能夠不顯示試用信息

public static void checkLicenseGUI(Authorization auth)
public static void checkLicenseConsole(Authorization auth)

  

去除listener個數限制

去掉這段，去除只能添加一個listener的限制

 else if ((Listener.isEgressBeacon(payload)) && (DataUtils.isBeaconDefined(this.datal)) && (!name.equals(DataUtils.getEgressBeaconListener(this.datal))))
    {
      DialogUtils.showError("You may only define one egress Beacon per team server.\nThere are a few things I need to sort before you can\nput multiple Beacon HTTP/DNS listeners on one server.\nSpin up a new team server and add your listener there.");
    }

 

後門特徵指紋

存在後門特徵指紋的幾個地方

common/ArtifactUtils.class

packer.addString("X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");

server/ProfileEdits.class

c2profile.addCommand(".http-get.server", "!header", "X-Malware: X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
c2profile.addCommand(".http-post.server", "!header", "X-Malware: X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
c2profile.addCommand(".http-stager.server", "!header", "X-Malware: X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
c2profile.addCommand(".stage.transform-x86", "append", "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
c2profile.addCommand(".stage.transform-x64", "append", "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");

common.ListenerConfig

-  result.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000");+  result.append("123\u0000");

resources/template.x64.ps一、resources/template.x86.ps1

 $eicar = 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'+  $eicar = ''

common.ArtifactUtils

已經修改了License.isTrial()返回值爲false，因此改不改也沒什麼影響

 

 

清除cobaltstrike緩存

rm -rf logs data cobaltstrike.store 

 

參考

https://xz.aliyun.com/t/2170

https://www.bilibili.com/video/av34171888/

https://github.com/Lz1y/cobalt_strike_3.12_patch