LSTAR - CobaltStrike综合后渗透插件

LSTAR – CobaltStrike综合后渗透插件

LSTAR – Aggressor

本着简化 CS 右键和方便自己集成的目的,对 Reference 里的项目进行了缝合以及二次开 (抄) 发 (袭)

重构和丰富了主机相关凭据获取、多级内网穿透、ZeroLogon 漏洞、免杀的 Mimikatz 和 Adduser 等功能

主要包含以下功能模块:

LSTAR - CobaltStrike综合后渗透插件

文件目录列表

├─modules
│      AuthMaintain.cna
│      AuthPromote.cna
│      BypassCxk.cna
│      HavingFun.cna
│      InfoCollect.cna
│      IntrAgent.cna
│      IntrScan.cna
│      LateMovement.cna
│      PassCapture.cna
│      RemoteLogin.cna
│      TraceClean.cna
│
└─scripts
    ├─AuthMaintain
    │  ├─AdUserApi
    │  │      HaryyUser.exe
    │  │
    │  ├─Exitservice
    │  │      uinit.exe
    │  │
    │  ├─Linkinfo
    │  │      reflective_dll.dll
    │  │
    │  ├─Msdtc32
    │  │      reflective_dll.dll
    │  │
    │  ├─Netapi32
    │  │      api.dll
    │  │      reflective_dll.dll
    │  │
    │  ├─Services
    │  │      reflective_dll.dll
    │  │      TransitEXE.exe
    │  │
    │  ├─ShadowUser
    │  │      scvhost.exe
    │  │
    │  ├─StartUp
    │  │      reflective_dll.dll
    │  │
    │  ├─Task_Scheduler
    │  │      reflective_dll.dll
    │  │
    │  └─Wmi
    │          Wmi_Persistence.ps1
    │
    ├─AuthPromote
    │  │  BadPotato.exe
    │  │  cve-2014-4113.x64.dll
    │  │  cve-2014-4113.x86.dll
    │  │  cve-2015-1701.x64.dll
    │  │  cve-2015-1701.x86.dll
    │  │  cve-2016-0051.x86.dll
    │  │  CVE-2020-0796.x64.dll
    │  │  dazzleUP_Reflective_DLL.x64.dll
    │  │  Invoke-EternalBlue.ps1
    │  │  Invoke-MS16032.ps1
    │  │  Invoke-MS16135.ps1
    │  │  JuicyPotato.exe
    │  │  JuicyPotato.x64.dll
    │  │  JuicyPotato.x86.dll
    │  │  ms15-051.exe
    │  │  ms16-016.exe
    │  │  ms16-032.exe
    │  │  SharpBypassUAC.exe
    │  │  SweetPotato.exe
    │  │  Watson.exe
    │  │
    │  └─CVE-2021-1675
    │      ├─3.5
    │      │      SharpPrintNightmare.exe
    │      │
    │      └─4.5
    │              SharpPrintNightmare.exe
    │
    ├─BypassCxk
    │      adduser.exe
    │      mimi.exe
    │
    ├─InfoCollect
    │  │  AD.dll
    │  │  AdFind.exe
    │  │  Check-VM.ps1
    │  │  Ladon.exe
    │  │  LRC.exe
    │  │  netview.exe
    │  │  Powerview.ps1
    │  │  SharpAVKB.exe
    │  │  SharpChassisType.exe
    │  │  SharpCheckInfo.exe
    │  │  SharpClipHistory.exe
    │  │  SharpDir.exe
    │  │  SharpEDRChecker.exe
    │  │  SharpEventLog.exe
    │  │  SharpNetCheck.exe
    │  │  SharpSQLDump.exe
    │  │  SharpWebScan.exe
    │  │
    │  └─everything
    │          Everything.exe
    │          Everything.ini
    │
    ├─IntrAgent
    │  ├─x64
    │  │      agent.exe
    │  │      frpcx.exe
    │  │      iox.exe
    │  │      npc.exe
    │  │
    │  └─x86
    │          agent.exe
    │          frpcx.exe
    │          iox.exe
    │          npc.exe
    │
    ├─IntrScan
    │  │  SharpOXID-Find.exe
    │  │  SharpSpray.exe
    │  │  SharpWebScan.exe
    │  │
    │  ├─x64
    │  │      Allin.exe
    │  │      cube.exe
    │  │      fscan.exe
    │  │
    │  └─x86
    │          Allin.exe
    │          cube.exe
    │          fscan.exe
    │
    ├─LateMovement
    │  │  InternalMonologue.exe
    │  │  MS14-068.exe
    │  │  SharpDomainSpray.exe
    │  │  SharpHound.exe
    │  │  SharpShares.exe
    │  │  sharpwmi.exe
    │  │  SPNSearcher.exe
    │  │  WMIHACKER.vbs
    │  │
    │  ├─kekeo
    │  │  ├─samba
    │  │  │      lib_smb_pipe.c
    │  │  │      lib_smb_pipe_x64.so
    │  │  │      lib_smb_pipe_x86.so
    │  │  │
    │  │  ├─Win32
    │  │  │      kekeo.exe
    │  │  │
    │  │  └─x64
    │  │          1.txt
    │  │          kekeo.exe
    │  │
    │  └─ZeroLogon
    │          zerologon.x64.o
    │          zerologon.x86.o
    │
    ├─PassCapture
    │  │  BrowserGhost.exe
    │  │  CatchChrome.exe
    │  │  CredPhisher.exe
    │  │  CVE-2021-36934.exe
    │  │  FakeLogonScreenToFile.exe
    │  │  hack-browser-data.exe
    │  │  InternalMonologue.exe
    │  │  lazagne.exe
    │  │  lock-screen.ps1
    │  │  Minidump.exe
    │  │  MiniDumpLsass.exe
    │  │  navicatpwd.exe
    │  │  Net-GPPPassword_dotNET_v2.exe
    │  │  SharpChromium.exe
    │  │  SharpCloud.exe
    │  │  SharpDecryptPwd.exe
    │  │  SharpDecryptPwd40.exe
    │  │  SharpWeb.exe
    │  │  SharpWifiGrabber.exe
    │  │
    │  ├─fakelogonscreen_trunk
    │  │  │  FakeLogonScreen.exe
    │  │  │  FakeLogonScreenToFile.exe
    │  │  │  README.md
    │  │  │
    │  │  └─DOTNET35
    │  │          FakeLogonScreen.exe
    │  │          FakeLogonScreenToFile.exe
    │  │
    │  ├─HackBrowserData
    │  │  ├─x64
    │  │  │      hack-browser-data.exe
    │  │  │
    │  │  └─x86
    │  │          hack-browser-data.exe
    │  │
    │  └─LsassDump
    │      ├─x64
    │      │      LsassDump.exe
    │      │
    │      └─x86
    │              LsassDump.exe
    │
    └─RemoteLogin
            CheckRdpStatus.ps1
            EventLogFailed.ps1
            EventLogSuccess.ps1
            Invoke-WCMDump.ps1
            KillEvenlogService.ps1
            RegfDenyTSConnections.ps1
            RegRdpPort.ps1
            StartRdp.exe

每个模块均在运行前添加了绿色分割线,方便定位回显信息,提高协作效率

LSTAR - CobaltStrike综合后渗透插件

CobaltStrike 主机上线微信通知插件:

免责申明

本项目仅适用于安全研究及合法的企业安全建设行为 一切后果及责任均由使用者本人承担

2021.10.18 更新

  • 对整体功能模块进行了重新整合以及优化完善
  • 横向移动模块新增 ZeroLogon 漏洞的BOF 实现
  • 增加了一些 Assembly 方式运行无文件落地的功能

InfoCollect

SharpGetInfo(一键收集主机信息)

使用 Ladon 进行一键收集包括主机基础信息、网络信息、用户信息、进程信息、是否在域内等等

LSTAR - CobaltStrike综合后渗透插件

SharpListRDP(RDP记录查询)

收集 RDP 内连和外连记录,方便定位运维机以及横向移动

LSTAR - CobaltStrike综合后渗透插件

IntrScan

Cube(模块化探测)

新增 Cube 来代替旧版本的爆破,同时支持内网信息收集和 MSSQL 命令执行,详细用法参考运行说明

LSTAR - CobaltStrike综合后渗透插件

Allin(辅助灵活扫描)

新增 Allin 来辅助灵活扫描,以远程获取网卡 IP 为例:

LSTAR - CobaltStrike综合后渗透插件

SharpOXID-Find (OXID 探测)

或者不想落地 EXE 时,可以使用 Assembly 方式进行 OXID 的快速探测

LSTAR - CobaltStrike综合后渗透插件

IntrAgent

Stowaway (穿透多级内网)

上传 agent 后运行

LSTAR - CobaltStrike综合后渗透插件

admin 端收到连接即可构建 Socks5 隧道

LSTAR - CobaltStrike综合后渗透插件

删除 agent

LSTAR - CobaltStrike综合后渗透插件

PassCapture

LsassDump(WinAPI)

修改了 LsassDump 的运行方式 删除 LsassDump 的同时会一起删除转储的 C:\Windows\Temp\1.dmp

LSTAR - CobaltStrike综合后渗透插件

Mimidump(远程读取.dmp)

新增配合 LsassDump(WinAPI)功能,远程读取目标机器转储的 C:\Windows\Temp\1.tmp(.net 4.5)

LSTAR - CobaltStrike综合后渗透插件

RemoteLogin

新增了使用 Powershell 开启 关闭以及查询 RDP 相关信息的方法

LSTAR - CobaltStrike综合后渗透插件

查询 RDP 状态

LSTAR - CobaltStrike综合后渗透插件

开启 RDP 服务

LSTAR - CobaltStrike综合后渗透插件

获取 RDP 端口

LSTAR - CobaltStrike综合后渗透插件

查看 RDP 历史登录凭据

LSTAR - CobaltStrike综合后渗透插件

获取 RDP 历史登录凭据

LSTAR - CobaltStrike综合后渗透插件

LateMovement

IPC 连接

LSTAR - CobaltStrike综合后渗透插件

票据传递

LSTAR - CobaltStrike综合后渗透插件

ZeroLogonBOF

新增了 ZeroLogon 漏洞的BOF 实现

参考:https://github.com/rsmudge/ZeroLogon-BOF

LSTAR - CobaltStrike综合后渗透插件

2021.09.05 更新

  • 针对部分功能进行了 x86 架构机器的适配
  • 增加了一些使用 WindowsAPI 的免杀小工具
  • 内网扫描模块在运行对应功能时添加了参数提示输出

IntrScan

Fscan

新增根据目标机器架构上传对应 EXE 文件

LSTAR - CobaltStrike综合后渗透插件

添加了参数提示输出 方便针对性指定运行单个模块

LSTAR - CobaltStrike综合后渗透插件

Crack

新增 Crack 内网爆破工具

LSTAR - CobaltStrike综合后渗透插件

TailorScan

新增根据目标机器架构上传对应 EXE 文件

LSTAR - CobaltStrike综合后渗透插件

PassCapture

LaZagne

修复了V1.2 版本中由于网络问题导致的 LaZagne 还未运行结束

就被杀掉进程且删除落地文件的 BUG 改用手动方式运行

LSTAR - CobaltStrike综合后渗透插件

LsassDump

新增了使用 WindowsAPI 进行内存转储的 LsassDump 且支持 x86 和 x64机器

LSTAR - CobaltStrike综合后渗透插件

转储成功后生成的 1.dmp 会保存在 C:\Windows\Temp\ 目录

LSTAR - CobaltStrike综合后渗透插件

直接本地读取即可:

LSTAR - CobaltStrike综合后渗透插件

LateMovement

新增了 RDP 相关功能:

LSTAR - CobaltStrike综合后渗透插件

使用 WindowsAPI 开启 RDP 服务

LSTAR - CobaltStrike综合后渗透插件

2021.08.12 更新

InfoCollect

新增 CheckVM 检测目标是否为虚拟机

LSTAR - CobaltStrike综合后渗透插件

AVSearch

由于之前的脚本有一定概率失败:

LSTAR - CobaltStrike综合后渗透插件

更新了新的检测杀软方式

LSTAR - CobaltStrike综合后渗透插件

AuthPromote

修复了之前提权模块的 BUG

LSTAR - CobaltStrike综合后渗透插件

AuthMaintain

EasyPersistent:https://github.com/yanghaoi/CobaltStrike_CNA/tree/main/EasyCNA

新增一个用于 Windows 系统上权限维持的 Cobalt Strike CNA 脚本

使用反射 DLL 模块通过 API 对系统服务、计划任务等常见权限维持方法进行可视化操作,非 常 好 用。(作者原话)

LSTAR - CobaltStrike综合后渗透插件

说明文档:https://github.com/yanghaoi/CobaltStrike_CNA/

LSTAR - CobaltStrike综合后渗透插件

PassCapture

Mimikatz 相关

LSTAR - CobaltStrike综合后渗透插件

Lazagne

实战测试比较好用的检索主机密码工具 (上传运行后会自动删除 exe 文件)

LSTAR - CobaltStrike综合后渗透插件

浏览器密码

LSTAR - CobaltStrike综合后渗透插件

Navicat Xshell 等本机软件

LSTAR - CobaltStrike综合后渗透插件

FakeTheScreen

优化了针对 Windows10和 Windows7不同的钓鱼密码窃取

LSTAR - CobaltStrike综合后渗透插件

由于伪造页面效果一言难尽,只建议在准备鱼死网破时使用:

LSTAR - CobaltStrike综合后渗透插件

Reference

梼杌 – taowu-cobalt-strike

Z1-AggressorScripts

九世自开-csplugin

EasyPersistent Windows 权限维持

黑魔鬼-CSplugins

InfoCollect

添加了 Netview 和 Powerview 功能

LSTAR - CobaltStrike综合后渗透插件

AvSearch

通过 Wmic 进行进程查询

LSTAR - CobaltStrike综合后渗透插件
LSTAR - CobaltStrike综合后渗透插件

IntrScan

包含各类内网大保健

LSTAR - CobaltStrike综合后渗透插件

自定义指令运行

LSTAR - CobaltStrike综合后渗透插件

fscan 默认上传至 C:\\Windows\\Temp\\

LSTAR - CobaltStrike综合后渗透插件

控制台返回

LSTAR - CobaltStrike综合后渗透插件

删除 fscan 及结果文本

LSTAR - CobaltStrike综合后渗透插件

IntrAgent

比较好用的内网穿透工具 且均无配置文件落地 降低被溯源风险

LSTAR - CobaltStrike综合后渗透插件

AuthMaintain

在梼杌的基础上 添加了白银票据和黄金票据

LSTAR - CobaltStrike综合后渗透插件

LateMovement

包含 基于135端口的sharpwmi 等横向移动套件

LSTAR - CobaltStrike综合后渗透插件

TraceClean

缝合九世的痕迹清理 待完善

LSTAR - CobaltStrike综合后渗透插件

BypassCxk

cxk 限时免杀版 adduser 和 mimikatz

LSTAR - CobaltStrike综合后渗透插件

HavingFun

搞站的日子里图一乐

LSTAR - CobaltStrike综合后渗透插件

项目地址:

GitHub: https://github.com/lintstar/LSTAR

下载地址:

①GitHub:

LSTAR.zip

②云中转网盘:

https://yzzpan.com/#sharefile=Bq2aLY7n_17581
解压密码:www.ddosi.org
插件中大部分文件会报毒,所以设置了密码.

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。