看到一个好玩的项目：https://github.com/hariomenkel/CobaltSpam/

这个项目可以伪造CobaltStrike的上线信息，原理是在CobaltStrike teamserver的默认配置下可以识别出beacon信息，基于该信息就可以伪造CobaltStrike的上线信息了。

一般来说，没有做特别防护的teamserver，使用了stager功能都会受到这个工具的影响。stager功能即分段shellcode，换句话说，使用了cs的shellcode都会受此影响。

为了方便使用，我修复上面软件的一些bug，丰富了各种类型的上线信息，将它变成了在线版，只需要输入cs teamserver的ip即可在线使用。

上线效果 (图中ip均为自动生成效果)

使用

公众号回复 “ CS上线器” 即可获得CS上线器在线版地址。

从各种沙箱或者内存中提取出cs server的地址，填写到cs server地址上，选择上线台数，点击生成，会出现一段python3代码，需要本机安装有python3的环境，执行该代码即可。

广告

想了解相关工具的原理以及代码可以加入我的知识星球~

公众号回复 “ 知识星球” 即可获得加入链接。公众号回复 “ CS上线器” 即可获得CS上线器在线版地址。