这个东西我也不是经常使用偶尔会用用
最近3.13放出来了正好有时间就随便看看
3.13官方去除了之前的空格指纹
1 | common/License.class 验证 |
首先是License.class的验证破解
1 | //改成这样 |
至于checkLicenseConsole,checkLicenseGUI随意
listener个数限制
aggressor/dialogs/ListenerDialog.class
1 | else if (Listener.isEgressBeacon(payload) && DataUtils.isBeaconDefined(this.datal) && !name.equals(DataUtils.getEgressBeaconListener(this.datal))) { |
把这个删了
common.ListenerConfig
1 | result.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); |
把这个改了
resources/template.x64.ps1、resources/template.x86.ps1
1 | $eicar = 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' |
同样改掉
server.ProfileEdits
1 | c2profile.addCommand(".http-get.server", "!header", "X-Malware: X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"); |
删掉
common/WebTransforms.class
之前的空格指纹作者虽然删了但又跑到这里加上了
1 | response.status += " "; |
直接删掉这句
common/ArtifactUtils.class
cs xor编码功能试用版没有此功能也没有xor.bin xor64.bin但可以加上
感谢此项目https://github.com/verctor/CS_xor64
1 | public class ArtifactUtils extends BaseArtifactUtils |
这里看3.13最终版吧原来的代码有问题而且不仅要改这里
别忘了添加xor.bin和xor64.bin到resources
https://github.com/WBGlIl/CobaltStrike-xor
回编译java时直接javac -cp cobaltstrike.jar name.java就行然后把class文件拖到cobaltstrike.jar里面替换掉对应的文件
cobaltstrike启动命令
1 | javaw -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512m -Xmx1024m -jar cobaltstrike.jar |