点击上方蓝字关注我们
现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
工具介绍
当我们在攻防演练中,使用web漏洞获取目标服务器权限时,发现目标上有360安全卫士、360杀毒、火绒无法上线CobaltStrike或者含有安全狗等WAF产品无法上传JSP webshell时,这个时候可以采用JSP代码直接上线CobaltStrike。
目前技术文章都是注入到tomcat这类中间件自身的进程,一旦退出木马,就会导致中间件进程退出,会影响目标的业务。此次发布的JSP文件可以一键自动化注入到svchost.exe进程下上线CobaltStrike,可以正常退出木马,操作方便快捷。获取方式:连同cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里。
使用教程
1.使用CobaltStrike中的Payload生成器或者有效载荷生成器(Stageless)生成java语言的payload.java文件
2.将payload 每个0x..前面加上(byte),可以采用替换的方法,将","替换为", (byte)"
3.复制payload.java中的代码替换yangben.jsp中此行代码。
4. 为了安全考虑,加入了GET参数进行安全校验,可以替换param参数名称,以及specificValue参数值。
5.然后将文件上传到目标系统,然后访问上传的jsp文件路径即可完成CobaltStrike上线操作。
http://127.0.0.1/1.jsp?param=specificValue免杀效果
安全狗:
360:(进程注入行为也是可以过360的)
火绒:
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
CobaltStrike4.9.1二开
CobaltStrike免杀插件
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
目前星球已满100人,价格由198元调整为208元(交个朋友啦),200名以后涨价至238元!
圈子动态
星落免杀星球资源维护表
关注微信公众号后台回复“入群”,即可进入星落安全交流群!
往期推荐
1.【完整版】哥斯拉免杀 过360、火绒、微软 XlByPassGodzilla v1.2
2.【免杀】冰蝎免杀 XlByPassBehinder 过360、火绒、微软 已更新!
4.【重大更新】基于fscan 过360核晶、火绒的xlscan v1.2 已发布!
5. 【版本更新】导出 Lsass.exe 内存工具 过360 火绒 微软 xlrls v1.1发布!
【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!
