当我们在攻防演练中,使用web漏洞获取目标服务器权限时,发现目标上有
3
60安全卫士、360杀毒、
火绒无法上线
CobaltStrike
或者含有安全狗等WAF产品无法上传JSP webshell时,这个时候可以采用JSP代码直接上线CobaltStrike。
目前技术文章都是注入到tomcat这类中间件自身的进程,一旦退出木马,就会导致
中间件进程退出,会影响目标的业务。此次发布的JSP文件可以一键自动化注入到svchost.exe进程下
上线
CobaltStrike,可以正常退出
木马,操作方便快捷。
获取方式:连同cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里
。
1.使用
CobaltStrike中的Payload生成器或者有效载荷生成器(Stageless)生成java语言的payload.java文件
2.将payload 每个0x..前面加上(byte),可以采用替换的方法,将
"
,
"
替换为
"
, (byte)"
3.复制payload.java中的代码替换yangben.jsp
中此行代码。
4. 为了安全考虑,加入了GET参数进行安全校验,可以替换param参数名称,以及specificValue参数值。
5.然后将文件上传到目标系统,然后访问上传的jsp文件路径即可完成CobaltStrike上线操作。
安全狗:
360:(
进程注入行为
也是可以过360的)
火绒:
博主介绍
:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
-
CobaltStrike4.9.1二开
-
CobaltStrike免杀插件
-
aspx文件自动上线cobaltbrike
-
jsp文件
自动
上线
cobaltbrike
-
哥斯拉免杀工具
XlByPassGodzilla
-
冰蝎免杀工具 XlByPassBehinder
-
冰蝎星落专版 xlbehinder
-
正向代理工具 xleoreg
-
反向代理工具xlfrc
-
内网扫描工具 xlscan
-
CS免杀加载器 xlbpcs
-
Todesk/向日葵密码读取工具
-
导出lsass内存工具 xlrls
-
绕过WAF免杀工具 ByPassWAF
-
等等...
目前星球已满100人,价格由
198元
调整为
208元
(
交个朋友啦
),200名以后涨价至238元!
星落免杀星球资源维护表
