盘点那些黑客都在用的Aggressor Script脚本

/ 渗透测试 / 0 条评论 / 4670 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

介绍

Cobalt strike扩展脚本(3.0之前是叫Cortana,但是自从cs脱离MSF之后的就是叫Aggressor Script)通过加载Aggressor Script脚本可以向Cobalt strike中导入新的第三方功能,利用Aggressor Script脚本,你可以在渗透测试过程中很方便的做一些攻击操作。合理的用Aggressor Script脚本,对我们进行渗透测试会有很大的帮助。本篇文章主要介绍一些常用的脚本,希望能帮助各位大佬提升。(若你不知什么是Cobalt strike?那这位“黑客”大哥你可以走了)

脚本导入

在CS客户端当中导入Aggressor 脚本在“Cobalt Strike”功能区下的“Script Manager”(脚本管理器)当中管理Aggressor脚本,进去会有几个简单的载入、卸载、重新载入和帮助按钮,脚本导入之后每次打开CS都会自动载入或者执行脚本。

Aggressor Script脚本分享

分享一下常用的脚本,各位自行体验。

1、elevate脚本,CS作者rsmudge大佬官方出品,官方出品最为致命,脚本增加了几种提权方式。

使用:目标右键,执行->提权
地址: https://github.com/rsmudge/ElevateKit

2、介绍一个展示进程树并上色的脚本
地址: https://github.com/ars3n11/Aggressor-Scripts

3、harleyQu1nn大佬的脚本合集

地址https://github.com/harleyQu1nn/AggressorScripts

ArtifactPayloadGenerator.cna脚本

  • 根据HTTP / HTTPS监听器生成每种类型payload

  • 创建的位于opt目录下

AVQuery.cna脚本

  • 使用powershell查询注册表,以了解目标上安装的所有AV(杀毒软件)

  • 快速简便地获取作为攻击者处理的AV的方法

CertUtilWebDelivery.cna脚本(白名单下载,之前说过)

  • 使用CertUtil.exe进行无阶段Web交付

  • Powerpick用于产生certutil.exe,以将无级负载下载到目标上并使用rundll32.exe执行

RedTeamRepo.cna脚本可以使用RedRepo命令查看

  • 常见的操作系统命令集合

其他脚本自行探索

4、ZonkSec的持久化脚本

地址:https://github.com/ZonkSec/persistence-aggressor-script

persistence.cna 具体功能是通过注册表, 写服务, WMI, linkinfo, 粘滞键5种方式通过9种手法实现持久控制,在命令行中新注册了一个persistence命令,具体命令如下所示。

5、几个 uac bypass的脚本,uacbypass.cna

地址:https://github.com/RhinoSecurityLabs/Aggressor-Scripts

6、几个功能还不错的脚本

地址:https://github.com/Und3rf10w/Aggressor-scripts

KitLoader.cna 可以一键导入上面除键盘记录外的8个脚本

auto-keylogger.cna 可以实现在机器上线时自动进行键盘记录。

AnnoyKit.cna 的功能主要是整蛊型的,包括隐藏IE的进程,播放整蛊歌曲等方式。

AntiForensicsKit.cna 主要功能是反取证,包括检查虚拟机环境、清除日志、对付CarbonBlack等等。

CredKit.cna 是一个凭证窃取的小集合,包括Firefox、寻找keepass的配置文件、获取keepass数据库的key、运行Invoke-mimikittenz。

EnumKit.cna 包含的功能很多,包括获取主机WLAN密码、更新时间、用户权限情况、ip、安装应用等,也有定位carbon black的CB server和联动bloodhound的功能。

两个Powerview(不懂自行百度)
https://github.com/tevora-threat/aggressor-powerview
https://github.com/tevora-threat/PowerView3-Aggressor

7、threatexpress大佬的脚本集合

地址:
https://github.com/threatexpress/aggressor-scripts
https://github.com/threatexpress/red-team-scripts
https://github.com/threatexpress/persistence-aggressor-script

automigrate.cna 的功能是机器上线时按照设置自动进行进程迁移,但是测试一有点问题。
handler.cna 主要功能是对于sleep的优化,会标记已经dead的会话,会对SMB类型的会话单独标记等,同时对automigrate也起到一定的辅助作用。
init.cna 是上面两个脚本的主脚本,同时对于上面两个脚本的全局设置(比如automigrate的开关与否)也在这个脚本中进行。
make_webview.cna 的功能是可以一键生成一个如下图所示的html展示页面。使用方法是载入 make_webview.cna 脚本之后在script console 当中执行make_webview 命令,此时会生成teamserver对应的excel信息,再执行脚本目录中的 beacons_to_json.py 脚本就会生成对应的beacons.json 文件,html的展示就是基于该文件的。

enumerate.cna 的功能是对系统文件列表、powershell和.NET的安装情况等等信息进行搜集和展示,对linux也在SSH中注册了一个enumerate 命令,也是对一些系统信息及IP信息等的列举。
persistence.cna 就是更新之前的ZonkSec版本,上面有提到这里不再重复介绍。

8、Vincent Yiu团队的脚本集合

地址:https://github.com/mdsecactivebreach/CACTUSTORCH

本文最后编辑时间为: 2020-03-12

如本文对你有帮助,点击广告支持一下吧,创造不易。

safe6