【CS学习笔记】28、白名单申请和宏渗透


0x00 前言

这是 Cobalt Strike 学习笔记的最后一节,这节将来学习白名单申请与宏渗透的一些方法。

0x01 白名单申请

Win + R 打开运行窗口,输入 gpedit.msc ,来到 用户配置 -> 管理模板 -> 系统 处,打开 只允许指定的 Windows 程序

在打开的窗口中,勾选已启用,之后点击显示按钮,在其中写入白名单的程序名称后,点击两次确定之后即可。

0x02 建立宏攻击

在 Cobalt Strike 客户端上,选择 Packages --> MS Office Macro,指定一个监听器,点击 Generate,之后根据提示的步骤生成一个 Word 文档。

大体的步骤如下:

1、打开 Microsoft Word 或者 Excel

2、来到 视图 --> 宏

3、任意填写一个宏的名称

4、宏的位置选择为当前文档

5、点击创建

6、在打开的编辑器中,删除掉原来的内容

7、点击 Cobalt Strike 上的 Copy Macro 按钮

8、将刚复制 Cobalt Strike 生成的内容粘贴到打开的编辑器中

9、关闭编辑器

10、将文档保存为启用宏的文档,这里可以选择保存为 启用宏的 Word 文档 或者 Word 97-2003 文档

接下来使用钓鱼邮件等方式上传到靶机,当靶机运行该文档后启用宏内容即可上线。

这里不得不吐槽一句,Microsoft Office 的东西安装是真的麻烦。

在上面 2-8 步骤创建编辑宏内容的过程,也可以打开 开发工具 --> Visual Basic 界面,这里推荐使用快捷键Alt+F11打开该界面。

之后编辑ThisDocument 模块,粘贴宏代码也可以达到上述 2-8 步的效果。

0x03 总结

自 4 月 19 日发布 Cobalt Strike 第一节笔记开始,已经过去了半年的时间,踩过了无数坑,解决了无数的坑。

感谢 Cobalt Strike 的作者 Raphael Mudge 的课程,感谢 UP Hack 学习呀 上传的中文翻译版本,感谢 A-Team 团队的 Cobalt Strike 4.0 中文翻译手册,感谢每篇笔记最后参考链接的作者们,感谢曾经帮助我解决所碰到问题的大佬们,谢谢你们。

最后,还有一点要注意的就是, CS学习笔记系列只是我个人在学习 Cobalt Strike 的过程中所做的笔记,建议不要当做教程看,因为其中我本身已经知道的知识点和感觉不重要知识点我是没有记录的。

将自己的笔记公开发出来的目的有二:一是便于自己遗忘时随时查找,这也是17年我建立这个公众号的主要目的;二是在笔记中我会记录一些坑的解决方法,如果你碰到和我一样的问题,或许我这小菜鸟写的笔记就能帮助到你。

参考链接:https://www.bilibili.com/video/BV16b411i7n5

更多信息欢迎关注我的微信公众号:TeamsSix


文章作者: Teams Six
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Teams Six !
评论
 上一篇
【工具分享】分享几个平时经常用到的小工具 【工具分享】分享几个平时经常用到的小工具
前言平时自己偶然会根据需要写点小工具,但是一直没上传到我的Github上(其实是因为太懒),今天把一些自己平时使用比较频繁的一些小工具上传到我的Github上,有问题的可以反馈,有喜欢的可以给个Star,嘿嘿。 小工具dirsearch
2020-06-13
下一篇 
【CS学习笔记】27、apple渗透测试手法 【CS学习笔记】27、apple渗透测试手法
在 Cobalt Strike 的源码中内置了用于攻击 Java Applet 签名的 Applet 工具。
2020-04-19
  目录