Cobalt Strike破解详细说明

最近cs出了RCE漏洞,发了两次更新版,最新的是9.29 hf2版,小伙伴们注意了。

作为后渗透神器,Cobalt Strike被很多个人和组织使用,以前有些安全厂商抓到一些样本就兴奋的说抓到了apt攻击,也是醉了。

一、下载

由于Cobalt Strike属于美国对外出口管制软件,下载会麻烦一点,需要美国ip,而且有些vps运营商的ip也是没办法下载到的,有能力可以自己抓美国肉鸡下载,相对稳定些,如果抓到的是web服务器,不需要拿到system或者root权限,直接拿reGeorg代理即可,命令如下:

python reGeorgSocksProxy.py -p 4444 –u http://website/tunnel.php

然后浏览器设置SOCKS5代理 127.0.0.1:4444即可

注意记得将自己的浏览器User-Agent修改为英文系统。

准备就绪之后打开https://www.cobaltstrike.com/trial 填写邮箱申请试用,不要用国内邮箱,gmail最佳,之后会收到邮件告诉你下载地址是 https://www.cobaltstrike.com/download ,其实直接访问这个地址也可以的,该页面提供了三个版本,一般下载linux版就行,反正通用的java的程序。

如果用浏览器因为代理下载太慢,可以直接在肉鸡上wget下载然后拖回来,速度会快很多。

 

二、破解

以下破解过程以linux版为例

下载回来之后直接运行会弹出21天试用提示,如果你只是玩玩儿,也够了,如果想长期用,就算你是土豪也不一定能买到授权,所以还是听毛爷爷的话自己动手丰衣足食吧。

动手之前你需要准备几个软件:

javajdk 这个不用说

FileSeek 搜索关键字

jad 反编译class文件用

解压cobaltstrike-trial.tgz,得到主程序cobaltstrike.jar,按照zip格式继续解压该jar文件。

 

开始破解第一步:去除试用时间限制

进入解压后的common目录,使用jad反编译License.class文件

jad License.class

生成License.jad文件,改名为 License.java (这里我安装了linux命令包,所以直接用mv命令)

cs1

编辑License.java文件(注意不要使用notepad),删除41-42、49-51、65-66、73-74行,修改78行21L为9999L ,即可删除启动时恼人的试用提示框,如下图提示:

cs2

然后javac –cp ../ License.java 编译修改过的文件,生成License.class,准备替换原文件。

 

破解第二步:去除暗桩

由于是试用版,所以官方留了几个暗桩防止滥用,我们要干掉这些暗桩。

使用FileSeek搜索解压后的文件夹,关键字Malware ,可以发现有几个文件存在关键字:

server/TeamServer.class

resources/applet_signed.jar

resources/applet_rhino.jar

cs3

同样,进入server目录,使用jad反编译TeamServer.class文件

jad TeamServer.class

生成TeamServer.class文件,改名为 TeamServer.java

cs4

编辑TeamServer.java文件,删除38-43行,如下图所示:

cs5

javac编译修改过的文件

用winrar打开applet_signed.jar和applet_rhino.jar,删除里面的..\malware.txt后保存文件。

cs6

如果更挑剔,可以删除applet_signed.jar/META-INF/目录中MANIFEST.MF和MYKEY.SF文件里malware.txt的SHA-256-Digest

 

至此,该修改的文件我们都修改好了,使用winrar打开原cobaltstrike.jar文件,替换掉几个已经修改的文件即可正常使用了。

4 thoughts on “Cobalt Strike破解详细说明

发表评论

电子邮件地址不会被公开。


*