https://github.com/dr0op/CrossNet-Beta
红队行动中利用白利用、免杀、自动判断网络环境生成钓鱼可执行文件。
https://github.com/dr0op/CrossNet-Beta
Last synced: 4 months ago
JSON representation
红队行动中利用白利用、免杀、自动判断网络环境生成钓鱼可执行文件。
- Host: GitHub
- URL: https://github.com/dr0op/CrossNet-Beta
- Owner: dr0op
- Created: 2021-02-08T10:52:39.000Z (over 4 years ago)
- Default Branch: master
- Last Pushed: 2024-06-19T07:02:22.000Z (over 1 year ago)
- Last Synced: 2024-08-05T17:27:48.367Z (about 1 year ago)
- Language: C++
- Homepage:
- Size: 25.5 MB
- Stars: 363
- Watchers: 10
- Forks: 58
- Open Issues: 2
-
Metadata Files:
- Readme: README.md
Awesome Lists containing this project
- awesome-hacking-lists - dr0op/CrossNet-Beta - 红队行动中利用白利用、免杀、自动判断网络环境生成钓鱼可执行文件。 (C++)
README
# CrossNet
通过判断目标是否出网,何种方式出网选择相应的方式上线。
选择CobaltStrike4.1 RAW格式shellcode 生成payload.bin 生成不同listener 的payload ,这里生成http和dns
点击choose将生成的payload或doc文件选择到对应选项
等待一会,成功生成目标文件和dll 到当前文件夹
点击会发现释放出真实docx文件并执行,并将exe文件设为隐藏。
过一会CS会上线。
## 注意
生成马需要visual studio环境,这里是visual studio 2017
# 已实现
判断出网方式 TCP、DNS √
依据不同的出网方式进行shellcode加载 √
利用lolbins结合dll劫持执行shellcode √
### Beta 1.0.2
修改可执行内存申请 后添加可执行权限√
添加sleep 万一能绕过沙箱√
将判断dns是否出网替换自己指向127.0.0.1 的域名 √
### Beta 1.1.0
释放出word并将word文件名修改一致[Beta=1.1.0]√
设置当前EXE文件为隐藏[Beta=1.1.0]√
将shellcode加密存放在dll文件中[Beta=1.1.0]√
解密本地shellcode并运行shellcode [Beta=1.1.0]√
权限维持[Beta=1.1.0]√
进程注入到系统进程[Beta=1.1.0]√
新方式出网探测[[Beta=1.1.0]√
# TODO:
EXE自删除
DNS beacon自动checkin
ICMP协议支持
寻找更可靠的权限维持方法
功能分化: 1. 免杀模式 2. 钓鱼模式(释放word)
免杀模式:
1. 其他白利用方式
钓鱼模式:
1. 添加chm帮助文件 白利用链
# 免杀测试:
## 静态扫描检测:
360杀毒 未通过
360安全卫士 通过
火绒 通过
## 动态执行扫描检测:
360杀毒 通过
360安全卫士 通过
火绒 通过
# 问题:
比较优秀的支持icmp协议的远控?
# 免责声明
改工具仅限于安全研究使用、切勿用于非法用途。如红队使用请务必在授权状态下使用!