Привет всем, меня зовут 3had0w. Сегодня я хотел бы поделиться с вами плагином пост-проникновения CobaltStrike (PostExpKit), который я писал недавно. На данный момент доработан только модуль повышения привилегий, а остальные функции модуля находятся в разработке. еще пишется и тестируется...

Зачем писать этот плагин?

Потому что я раньше пользовался плагинами от других мастеров и обнаружил, что они не очень полные. Многие часто используемые экспы недоступны, да и я не привык их использовать. Некоторые коды плагинов тоже могут не быть скопированы. были протестированы и вообще не могут быть использованы, поэтому я хочу использовать их на основе своих собственных. Используйте свой опыт и привычки, чтобы написать плагин повышения привилегий, который подойдет для вашего собственного использования.

Я написал этот плагин только для того, чтобы более эффективно проводить тесты на повышение привилегий, но он не включает в себя часть, предотвращающую убийства. В реальном бою вам все равно придется посмотреть, с какими сценариями вы столкнетесь, а затем провести тест на основе своих. накопленный практический опыт... ..

Знакомство с возможностями и функциями плагина

плагин написан на основе принципов OPSEC,Нам следует стараться избегать его использования при выполнении постпроникновения.fork&runкоманды режима,Старайтесь избегать использования процессов высокого риска, таких как cmd.exe и powershell.exe, для выполнения команд и инструкций под Beacon.,Это позволяет эффективно избежать обнаружения и перехвата AV/EDR...

https://www.cobaltstrike.com/help-opsec
https://hausec.com/2021/07/26/cobalt-strike-and-tradecraft/

Плагины в основном используют следующие методы выполнения, выбирать их рекомендуется по порядку:

BOFПамять выполнение (inline-execute)
NETПамять выполнения (InlineExecute-Assembly)
NETПамятьexecute (execute-assembly)
Выполнение отражения DLL (bdllspawn)
EXE Память исполнение (BOFRunPortable)
Выполнение посадки EXE (sharpcmd, оболочка)
[...SNIP...]

На данный момент модуль повышения привилегий плагина в основном включает в себя следующие общие функции:

1. Сканировать каталоги, доступные для чтения и записи указанному пользователю.
2. Проверьте наличие уязвимостей/неправильных конфигураций, которые можно использовать.
3. Память Выполнить EXE/.NET файлы
4. Коллекция из 10 техник обхода UAC
5. Перечислите все обезличенные токены/эксплойты
6. Прочтите реестр SAM, чтобы получить хеш-значение.
7. Общий инструмент MS/CVE Elevation Utility
8. Часто используемый инструмент для приложений по повышению прав на картофель
9. Исполняемая команда повышения привилегий Potato/онлайн
[...SNIP...]

Демонстрация некоторых функций модуля повышения привилегий

В качестве примера мы возьмем картофель EfsPotato. Вы можете выбрать команду для выполнения команд или шелл-код для прямого выхода в Интернет в различных сценариях. Это чисто полуавтоматическая и дурацкая операция. Вы можете получить систему всего за несколько кликов.

команда выполнения команды:

Шелл-код подключается напрямую: