

    Vampir
    Новые темы
    Новые ответы

    Начало
    Помощь
    Поиск
    Профиль
    Личные сообщения
    Пользователи

Monica Bellucci Fan Club

    Monica Bellucci Fan Club »
    Frameworks »
    Cobalt Strike »
    Cobalt Strike Enhancement Chain

Cobalt Strike Enhancement Chain
Alter · 2 · 40
« предыдущая тема следующая тема »

Страницы: 1
Alter

    Administrator
    Member
    *****
        28
        Просмотр профиля Личное сообщение (Оффлайн) 

: Марта 11, 2021, 03:27:37 am
Записан

Часть ToolChain пакета. Содержимое в файлике enhancement_chain.cna
Просьба оставлять здесь отзывы или заказы на добавление алиасов и дополнительных "легких" .cna скриптов в пакет.

## AV_Query
Команда AV_Query Сканирует реестр на наличие установленных антивирусов
## upload
Альтернативная версия команды upload. 
Загружает локальный файл (первый аргумент) на удаленный хост (второй аргумент, необязательный). 
Как использовать: __upload </локальный/путь/к/файлу> [/удаленный/путь/к/файлу]__. 
Пример использования: __beacon> upload implant.exe \\DC1\c$\windows\temp\implant.exe__. 
## Blacklist
Блэклист для беконов. Удаляет бекон, если он запустился на компьютере, где имя пользователя и компьютера содержатся в блэклисте. 
__blacklist-add__ - добавить в блэклист 
__blacklist-remove__ - удалить из блэклиста 
__blacklist-show__ - показать блэклист 
## Credpocalypse
Отслеживает беконы и собирает учетные данные 
Использование в беконе: 
    __begin_credpocalypse__         - отслеживать текущий бекон 
   __end_credpocalypse [all]__       - остановить отслеживание текущего/всех беконов 
   __credpocalypse_interval [time]__   - интервал опроса бекона 1m, 5m (по умолчанию), 10m, 30m, 60m 
Использование в скрипт консоли или другом скрипте: 
    __begin_credpocalypse__         - отслеживать все беконы 
   __end_credpocalypse [all]__       - остановить отслеживание всех беконов 
   __credpocalypse_interval [time]__   - интервал опроса бекона 1m, 5m (по умолчанию), 10m, 30m, 60m 
Кликните правой кнопкой мыши на беконе, чтобы открыть меню Credpocalypse 
## powershell2
Альтернативная версия команды powershell c повышенной операционной безопасностью 
## Simple Beacon console status bar
Показывает рабочую директорию, менят ширину индикатора последнего появления бекона в правом нижнем углу на фиксированную 
Добваляет опцию к команде cd для возврата в предыдущую директорию. 
Использование: __cd -__ 
## dcom_shellexecute
Боковое перемещение с DCOM (ShellExecute) 
Использование: __dcom_shellexecute [target] [listener]__ - создать новый бекон на цели через объект DCOM ShellExecute 
## DebugKit
Дополнительные средства отладки в pop-up меню DebugKit, скрипт консоли и в беконе. 
Команды в скрипт консоли: 
__!beaconinfo__ - получить информацию о беконах 
__!loaded_powershell__ - показать загруженные командлеты powershell для каждого бекона 
__!c2_sample_server__ - показать как выглядят ответы с C2 сервера 
__!c2_sample_client__ - показать как выглядят запросы клиента 
__!who__ - показать всех, кто подключен к тимсерверу 
__!pwn3d_hosts__ - показать список имен хостов, на которых когда-либо были созданы сессии 
__!show_data_keys__ - показать ключи в модели данных Cobalt Strike 
__!query_data_key <key_name>__ - получить значения по ключу из модели данных Cobalt Strike 
__!sync_all_downloads__ - синхронизирует загруженные файлы с сервера Cobalt Strike в указанную папку и рекурсивно воссоздает пути к файлам, которые были у файлов на целевых хостах 
Использование: __!sync_all_downloads [/path/on/client/machine/to/save/downloads/to] <IP address of host to download files for>__ 
Команды в консоли бекона: 
__!iscsadmin__ - проверить текущий бекон через функцию -isadmin 
## csfm
Опрашивает базу данных для получения известных команд, выводит полезные советы для оператора. 
Синтаксис:  __csfm

    __ - перечисление всех опций csfm 
    Пример: __search computer, tip ntlm__ 

## EDR
Удаленно опрашивает систему на наличие EDR продуктов 
Синтаксис: __edr_query [hostname] [arch]__ 
## Color Coded Files Listing
Скрипт раскрашивает вывод команды ls и позволяет отслеживать загруженные файлы подсвечивая их 
## Forwarded_Ports
Отслеживает настроенные переадресации удаленных портов на всех беконах и позволяет легко удалить их 
Использование 'rportfwd' быстро потребляет пул доступных локальных портов, из которых переадресовывается исходящий трафик, и их отслеживание вручную становится утомительным на длительных проектах. Этот сценарий призван заполнить этот пробел, собрав эти команды и представив их в красивой панели визуализации. 
## HighLight_Beacons
Подсвечивает новые beacons зеленым цветом, неактивные - красным.
## LogVis
Продвинутая визуализация вывода beacon-консоли.
## MASS-DCSYNC
Атака DCSync, применяемая к списку пользователей домена.
Файл со списком пользователей должен содержать одного пользователя в каждой строке.
## MIMIKATZ_ADDONS
Выполняет изменение пароля, которое позволяет вам изменить пароль NTLM для данной учетной записи.
Использует функцию смены пароля Mimikatz, которая позволяет изменять пароль NTLM для данной учетной записи без регистрации событий setpassword.
**Использование:** password_change [Username] [Known old hash or password] [New hash or password] [SERVER/DC/localhost] 
## PING_ALIASES
1. alias **qping** посылает пакет для пинга с помощью командной строки.
**Использование**: qping [target]. Параметр **target** опционален.
2. alias **smbscan** сканирует порт 445.
## PORTSCAN_RESULTS
Пункт меню в разделе View. При запуске открывается вкладка с результатами выполнения smbscan.
## PROCESSCOLOR
Подсветка категорий процессов (антивирусы, проводник, браузеры, текущий процесс) в менеджере процессов beacon (Explore => ProcessList).
## PS_WINDOW_ALIASES
alias **pspane** открывает менеджер процессов.
**Использование:** pspane
## SLEEP_DOWN_WHEN_NO_OPERATORS
Увеличивает интервал sleep для beacon, у которых нет активных (залогиненных) пользователей.
## SMART_AUTOPPID
Переназначает исполнение команд beacon и всех beacon jobs в назначенный процесс (svchost.exe).
Все команды будут выполняться в зависимости от контекста/привилегий (user или system).
**Использование:** autoppid
## WIN2012MIMIKATZ
Добавляет в реестр ключ для работы mimikatz.[/list]

Последнее обновление от 04.03.2021
« Последнее редактирование: Марта 11, 2021, 03:30:13 am от Alter »

Rozetka

    Administrator
    Member
    *****
        35
        Просмотр профиля E-mail Личное сообщение (Оффлайн) 

Ответ #1 : Марта 15, 2021, 01:53:02 am
Записан

Какой из модулей отвечает за то, что он сам без моего спроса массово ставит sleep 300 ? Это мешает :-* :-* :-*

Страницы: 1

    Monica Bellucci Fan Club »
    Frameworks »
    Cobalt Strike »
    Cobalt Strike Enhancement Chain

Перейти в:
 
+ Быстрый ответ

    SMF 2.0.18 | SMF © 2020, Simple Machines
    Разработанно с от SychO


