powershell_bypass.cna 插件(适配 Cobalt Strike 4.0 的免费版本下载地址)
目录
1. powershell_bypass.cna 插件(适配 Cobalt Strike 4.0 的免费版本下载地址)
2. 生成 EXE 文件时出现 "运行异常,请查看 Script Console" 的处理方法
处理步骤
3. powershell_bypass.cna 插件的功能及实际操作步骤
功能
实际操作步骤
实际工作案例
总结
1. powershell_bypass.cna 插件(适配 Cobalt Strike 4.0 的免费版本下载地址)
powershell_bypass.cna 是一个用于 Cobalt Strike 的插件,可以通过 PowerShell 绕过杀毒软件检测,实现免杀上线。以下是一个适配 Cobalt Strike 4.0 的免费版本下载地址:
-
下载地址:GitHub - yyMing-sudo/bypassAV: 借助Win-PS2EXE项目编写cna脚本方便快速生成免杀可执行文件
-
这个 GitHub 仓库包含多个 Cobalt Strike 插件,其中包括
powershell_bypass.cna。 -
该版本与 Cobalt Strike 4.0 兼容,但建议下载后确认具体文件是否需要微调。
-
注意:Cobalt Strike 4.0 是较早的版本,部分插件可能需要手动调整以确保完全兼容。如果下载后遇到问题,可以在 GitHub 上搜索其他相关资源或联系开发者。
2. 生成 EXE 文件时出现 "运行异常,请查看 Script Console" 的处理方法
在使用 powershell_bypass.cna 插件生成 EXE 文件时,如果出现 "运行异常,请查看 Script Console" 的错误,可以按照以下步骤排查和解决:
处理步骤
-
查看 Script Console 输出
-
在 Cobalt Strike 客户端中,点击菜单栏的
View -> Script Console。 -
查看控制台中的具体错误信息,例如缺少依赖、语法错误或路径问题。
-
-
检查插件与 Cobalt Strike 版本兼容性
-
确保
powershell_bypass.cna的版本适用于 Cobalt Strike 4.0。如果不兼容,可能需要从其他来源下载适配版本或修改脚本。
-
-
检查 PowerShell 环境
-
确认你的运行机器(Win11)已安装 PowerShell,并且版本足够新(建议 PowerShell 5.0 或以上)。
-
在命令提示符或终端中运行以下命令检查版本:
powershell -version
-
-
检查插件配置
-
用文本编辑器打开
powershell_bypass.cna文件,检查其中是否有硬编码的路径或配置与你的系统不符。 -
例如,插件可能默认调用
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe,但在 Win11 中路径可能有所不同。
-
-
修复或更新插件
-
如果错误与路径或命令不兼容有关,可以手动编辑
.cna文件,更新为 Win11 的实际 PowerShell 路径。
-
-
重新加载插件并测试
-
修改完成后,在 Cobalt Strike 中重新加载插件(
Cobalt Strike -> Scripts -> Load),然后再次尝试生成 EXE 文件。
-
3. powershell_bypass.cna 插件的功能及实际操作步骤
powershell_bypass.cna 插件的主要功能是通过 PowerShell 生成免杀的 EXE 文件,绕过杀毒软件(如 Windows Defender)的检测,并在目标系统上运行后回连到 Cobalt Strike。以下是其功能和针对 Win11 的操作步骤。
功能
-
生成免杀 Payload:利用 PowerShell 脚本生成 EXE 文件,减少被杀毒软件检测的几率。
-
自动化上线:生成的 EXE 文件在目标系统运行后,会自动连接到 Cobalt Strike 的监听器。
实际操作步骤
-
下载并安装插件
-
从上述地址(https://github.com/001SPARTaN/aggressor_scripts)下载
powershell_bypass.cna。 -
在 Cobalt Strike 客户端中,点击
Cobalt Strike -> Scripts -> Load,选择.cna文件加载插件。
-
-
配置监听器
-
在 Cobalt Strike 中创建一个监听器:
-
点击
Cobalt Strike -> Listeners -> Add。 -
选择类型(如
windows/beacon_http/reverse_http),设置端口(例如 4444)和主机地址。
-
-
-
生成 EXE 文件
-
加载插件后,在 Beacon 控制台中输入插件提供的命令(通常是
powershell_bypass或类似命令,具体命令可能因插件版本而异)。 -
选择刚刚配置的监听器,指定输出路径,生成 EXE 文件。
-
-
上传并执行 EXE 文件
-
将生成的 EXE 文件上传到目标系统(Win11),可以通过 WebShell、FTP 或其他方式。
-
在目标系统上运行 EXE 文件(例如通过命令行或双击执行),Beacon 会回连到 Cobalt Strike。
-
实际工作案例
-
场景: 你通过一个 Web 漏洞在目标 Win11 系统上部署了一个 Webshell,但目标系统安装了 Windows Defender,直接运行 Cobalt Strike 默认生成的 Beacon EXE 文件会被拦截。
-
解决方案:
-
使用
powershell_bypass.cna插件生成一个免杀的 EXE 文件。 -
通过 Webshell 将 EXE 文件上传到目标系统的
C:\Users\Public目录。 -
在 Webshell 中执行以下命令运行 EXE 文件:
C:\Users\Public\payload.exe
-
EXE 文件成功绕过 Windows Defender 的检测,Beacon 回连到你的 Cobalt Strike 监听器(例如 IP: 192.168.1.100,端口: 4444),你获得目标系统的控制权。
-
总结
-
插件下载: 从 https://github.com/001SPARTaN/aggressor_scripts 获取适配 Cobalt Strike 4.0 的
powershell_bypass.cna。 -
异常处理: 查看 Script Console,检查兼容性、PowerShell 环境和插件配置,必要时修改脚本。
-
插件功能: 生成免杀 EXE 文件,绕过杀毒软件并上线到 Cobalt Strike。
-
操作步骤: 下载插件 -> 加载插件 -> 配置监听器 -> 生成 EXE -> 上传并执行。
-
工作案例: 通过 Webshell 上传免杀 EXE,绕过 Windows Defender,成功控制目标 Win11 系统。