CobaltStrike 上线自动权限维持插件

pukr

前言

        前几天和朋友聊天，朋友提供了个思路问我有没有CS上线自动权限维持的脚本；因为一般是权限维持分为单独一个模块进行后渗透，所以感觉也蛮有用的，就打算写一个实现一下这个功能。

一、动手
刚开始准备写的时候我就想到了Server 酱的插件脚本，因为他那个功能就是一上线就会自动提醒，所以上网找了下脚本大概看了下代码

​目前我只想要一上线就会有所动作的功能，大概看了下只有那个循环是我想要的，它会循环判断第一个session，类似于下图中如果有新的session就会放在第一个上面



当前的做权限维持的方法主要是靠远程下载shell然后添加计划任务

​
中间我也做了权限判断，如果是普通权限，那么计划任务弹回的shell也是普通权限；如果是管理员权限，则计划任务会设置两种权限的shell弹回来，分别为administrator 和 System 权限


​​

Windows 2012


​Windows 2008
​

Windows 7
​

Windows 10

​
写插件的过程中有考虑过，因为是循环，所以每次上线新session的话会不会陷入死循环，即无限重写计划任务、远程下载，导致动静过大或计划任务无法正常执行，但是之后经过实验发现：计划任务执行成功后会占用exe，而因为我们并没有做交互所以也不会覆盖原有的计划任务。

使用方法及原理也很简单，首先要生成一个可执行文件通过CS的Host File 挂在上面，通过bitsadmin远程下载后写入计划任务

需要修改的地方只有远程下载的地址，文件保存地址及计划任务的一些配置，我在Server酱的源代码保留的基础上写的插件，所以也可以配合Server酱做上线提醒

运行方法和Server酱相同，可以直接通过CS客户端调用；不过想要随时监控的话最好还是在服务器上运行以下命令：

1. ./agscript localhost 端口 用户名 密码 script/server_test/serverJ.cna

复制代码

​

感谢荣哥，彩蛋附上
​​​