【笔记】通过IDEA反编译CobaltStrike

发表于 更新于 阅读次数:

前言

通过IDEA反编译CobaltStrike4.5

下载JDK17

1
brew install openjdk@17

创建反编译项目

coablt_strike
1
2
3
mkdir coablt_strike_decompiled
mkdir coablt_strike_decompiled/src
mkdir coablt_strike_decompiled/lib

将原始jar包复制到lib目录下

1
cp cobaltstrike.jar coablt_strike_decompiled/lib

反编译jar包提取入口类

  • 反编译jar包提取入口类,放到coablt_strike_decompiled/src目录下
coablt_strike
1
2
3
4
5
6
7
mkdir temp
/opt/homebrew/Cellar/openjdk@17/17.0.12/libexec/openjdk.jdk/Contents/Home/bin/java -cp '/Applications/IntelliJ IDEA.app/Contents/plugins/java-decompiler/lib/java-decompiler.jar' org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true cobaltstrike.jar temp
cd temp
jar -xvf cobaltstrike.jar
cp aggressor/Aggressor.java ../coablt_strike_decompiled/src
cd ..
rm -rf temp

使用IDEA重新编译项目

使用IDEA打开项目

coablt_strike
1
idea coablt_strike_decompiled

配置环境

定义Java版本为17

  • File->Project Structure

  • SDK设置为JKD17,level设置为16

配置原始jar包作为依赖包

  • Modules->Dependencies->+->JARs or Directories

  • 选择lib目录下的原始jar包

  • 勾选这个jar包->Apply

配置打包后的入口类

  • Artifacts->+->JAR->From modules with dependencies

  • 选择Aggressor作为入口类->OK



  • OK

重新编译

  • 修改代码->Build->Build Artifacts->Build

完成

  • 截图纪念