Cobalt Strike–使用c#生成的payload进行免杀

枫少@KillBoy
枫少@KillBoy
管理员
219
文章
0
粉丝
资源分享317,9833字数 783阅读2分36秒阅读模式
AI智能摘要
想用C#绕过杀软成功上线?本文手把手教你如何利用C#生成Cobalt Strike免杀payload,从模板修改、字节对齐到编译转换,每一步都精准避坑。更附定时任务持久化技巧,彻底隐藏弹窗实现隐蔽控制。复现虽老但思路永存,适合红队渗透与安全研究者深度学习,助你掌握免杀核心逻辑。
— AI 生成的文章内容摘要

1616330497_60573f016591ff28a630a.png!small?1616330495652

一、使用c#进行免杀--复现

一、首先启动cs的服务端和客户端

此过程略

二、生成C#的payload

1.生成c#的payload

首先创建一个监听

Cobalt Strike–使用c#生成的payload进行免杀-图片1

再生成一个payload

Cobalt Strike–使用c#生成的payload进行免杀-图片2

输出选择c#的

Cobalt Strike–使用c#生成的payload进行免杀-图片3

其实和其他payload生成是一样的,输出到桌面上

Cobalt Strike–使用c#生成的payload进行免杀-图片4

打开之后发现生成成功

Cobalt Strike–使用c#生成的payload进行免杀-图片5

三、找到一个模板进行免杀

这里是我用的荔枝给我发的模板,他说很老了,但是我们只是为了复现去掌握他的方法,免杀被杀了但是不能扼杀我们的思路

我们进行操作:

将原来生成的payload给注释掉,然后把刚才生成的payload复制进去

一定要注意一点,字节数一定要相同

Cobalt Strike–使用c#生成的payload进行免杀-图片6

还要注意一点就是,要将buf改成shellcode,要不然下面转换文件的时候会报错

Cobalt Strike–使用c#生成的payload进行免杀-图片7

四、将cs文件(c#文件)转换成exe文件、

模板前面给出了要执行的命令和位置

C:/Windows/microsoft.NET/Framework64/v4.0.30319/csc.exe /unsafe /out:shellcodeLauncher.exe shellcodeLauncher.cs

注意:需要一个.net环境

下面有一个csc.exe

咱们将刚才生成的东西给进行放到.net下,进行转换成exe文件

Cobalt Strike–使用c#生成的payload进行免杀-图片8

目录:C:/Windows/microsoft.NET/Framework64/v4.0.30319

然后使用csc命令进行转换:

csc.exe /unsafe /out:chaosec.exe shellcodeLauncher.cs

Cobalt Strike–使用c#生成的payload进行免杀-图片9

发现生成成功

Cobalt Strike–使用c#生成的payload进行免杀-图片10

csc命令详解:

out:是指定生成后exe的文件名称

/unsafe:是使用非安全模式来编译代码,非安全模式的代码允许其操作内存地以及这些地址上的直接,会引起不安全代码的执行,有安全风险,所以是定为不安全模式

运行查看是否能正常上线

Cobalt Strike–使用c#生成的payload进行免杀-图片11

发现可以成功上线

在检测一下他的免杀效果

发现过腾讯管家是没问题的

Cobalt Strike–使用c#生成的payload进行免杀-图片12

五、定时任务安排

刚才运行的时候,发现一直有这个弹窗,所以很鸡肋,我们要借助windows上面的定时任务进行持久上线

Cobalt Strike–使用c#生成的payload进行免杀-图片13

1.定时任务介绍:

定时任务的参数:

schtasks ( schdule task:计划任务)

schtasks /create /RL HIGHEST /F /RU "SYSTEM" /TN "WindowsS" /TR "C:/chaosec.exe" /SC DAILY /MO 1 /ST 00:00

/RL:设置任务的运行级别。有效值为LIMITED和HIGHEST。默认为LIMITED。

/F∶如果指定的任务已存在,则强制创建任务并禁止警告的值。

/Ru∶指定运行任务的用户上下文。

/TN:指定唯—标识计划任务的名称。

/TR:指定要在计划的时间运行的任务的路径和文件名。

/SC:指定计划频率,DAILY为每天。

/MO:对于MINUTE,HOURLY,DAILYWEEKLY有效,可选参数,默认为1.

/ST:指定运行任务的开始时间,格式为HH : mm ( 24小时制)。

2.操作:

首先将chaosec.exe放到c盘下

Cobalt Strike–使用c#生成的payload进行免杀-图片14

3.执行命令.

发现成功

Cobalt Strike–使用c#生成的payload进行免杀-图片15

4.查看计划任务

schtasks /query |findstr "WindowsS" //这里我命令执行不可以,那么我们就直接用图形化查看,发现创建成功

Cobalt Strike–使用c#生成的payload进行免杀-图片16

5.立刻运行,执行、删除会话

schtasks /run /TN "chaosec"

schtasks /delete /F /TN "chaosec"

Cobalt Strike–使用c#生成的payload进行免杀-图片17

发现成功上线

Cobalt Strike–使用c#生成的payload进行免杀-图片18

https://www.freebuf.com/sectool/266939.html

 
枫少@KillBoy
评论  31  访客  29  作者  2
    • 星辰倒影的舞者
      星辰倒影的舞者 0

      这方法老但实用,我拿去试了下还真过腾讯管家👍

        • 西域香料
          西域香料 0

          @ 星辰倒影的舞者 老方法稳一手,新招没练熟还是得靠经典套路。

        • 皮孩子
          皮孩子 0

          字节数必须一致这点太关键了,之前就栽在这儿,改了几次才成功

          • 破大防
            破大防 1

            那个弹窗确实烦人,不用定时任务的话实战里根本没法用吧?

            • 优雅Eva
              优雅Eva 0

              .net环境现在基本都有,不过win7上可能得手动装个framework

              • 虚数引擎
                虚数引擎 0

                我前两天搞免杀直接被火绒秒了,这方案能过其他家吗?

                • 深空交响
                  深空交响 0

                  话说csc命令里/unsafe是不是也会引起杀软警惕啊?有点担心

                    • PeggyPinstripe
                      PeggyPinstripe 0

                      @ 深空交响 这命令确实有点敏感,不过目前看主要还是看payload本身。

                    • 雨水轻寒
                      雨水轻寒 0

                      改完之后上线是成了,但流量特征没处理吧,IDS一抓一个准

                      • 布丁球球
                        布丁球球 1

                        前几天复现另一个免杀也这样,替换payload时手抖少了个字节,编译直接报错hhh

                          • 一念永恒
                            一念永恒 1

                            @ 布丁球球 hhh我也是,差一个字节直接炸,调试到怀疑人生。

                          • 黄道吉日
                            黄道吉日 1

                            chaosec.exe放c盘根目录不会太明显吗?换个隐藏路径更稳妥吧

                            • MarilynMoon
                              MarilynMoon 0

                              这个定时任务设置得挺干净,SYSTEM权限跑起来基本没动静,666

                              • 暖风旧事
                                暖风旧事 0

                                腾讯管家过了,但360估计一运行就劝退吧?

                                • 数字迷踪
                                  数字迷踪 1

                                  感觉.net免杀现在越来越难了,特征太明显

                                  • 打酱油小队长
                                    打酱油小队长 0

                                    字节对不上真的会疯,我试了三次才对上

                                    • 古树之灵
                                      古树之灵 1

                                      chaosec放C盘确实太明目张胆了,建议扔AppData

                                      • 清明杏花
                                        清明杏花 1

                                        那个弹窗太致命了,不隐藏根本没法实战用

                                        • PolarisBlaze
                                          PolarisBlaze 0

                                          定时任务用SYSTEM权限确实安静多了,学到了

                                          • BettyBoom
                                            BettyBoom 0

                                            我改完也上线了,但Wireshark一抓全是明文流量,咋办

                                            • DarkMatterEcho
                                              DarkMatterEcho 0

                                              这方法适合老系统,Win10以后权限管得严多了

                                              • 概率云游
                                                概率云游 0

                                                前几天刚搞完免杀,也是各种编译报错,心态崩了

                                                • 爱放屁的河豚
                                                  爱放屁的河豚 0

                                                  666,模板大法永远的神,更新快点!

                                                  • 话痨小蛇
                                                    话痨小蛇 1

                                                    C#编译这块环境配置还挺折腾的

                                                      • 枫少@KillBoy
                                                        枫少@KillBoy

                                                        @ 话痨小蛇 搞.NET环境有时候是挺折腾人的

                                                      • 无名旅者
                                                        无名旅者 1

                                                        定时任务这招挺巧的,回头试试看

                                                          • 星辰捕梦者
                                                            星辰捕梦者 1

                                                            @ 无名旅者 定时任务这招是挺实用的

                                                          • 朝雾纱
                                                            朝雾纱 1

                                                            shellcode改名那步容易踩坑

                                                            • 黑风寨主
                                                              黑风寨主 1

                                                              模板是老的但思路没毛病

                                                                • 枫少@KillBoy
                                                                  枫少@KillBoy

                                                                  @ 黑风寨主 思路能用就行,老东西有时候反而稳定

                                                                • 家居设计师
                                                                  家居设计师 1

                                                                  环境配置这块确实挺麻烦的

                                                                匿名

                                                                发表评论

                                                                匿名网友

                                                                拖动滑块以完成验证