一个与Cobalt Strike集成的工具集合——C2-Tool-Collection
作者:Sec-Labs | 发布时间:
Outflank - C2工具集
这个资源库包含了一系列的工具,这些工具通过BOF和反射性DLL加载技术与Cobalt Strike(可能还有其他C2框架)集成。
这些工具不是我们的商业OST产品的一部分,并且是以贡献给社区为目标而编写的,我们对社区有很大的贡献。目前,这个软件库包含一个BOF(Beacon Object Files)工具部分和一个其他工具部分(漏洞、反射式DLL等)。所有这些工具都是由我们的团队成员编写的,并由我们在红色团队的任务中使用。随着时间的推移,更多的工具将被添加或修改为新的技术或功能。
项目地址
https://github.com/outflanknl/C2-Tool-Collection
工具集的内容
该工具集目前由以下工具组成。
| 模块名称 | 模块描述 |
|---|---|
| AddMachineAccount | 滥用默认的活动目录机器配额设置(ms-DS-MachineAccountQuota)来添加流氓机器账户。 |
| Askcreds | 通过简单的询问收集密码。 |
| CVE-2022-26923 | CVE-2022-26923活动目录(ADCS)域特权升级漏洞 |
| Domaininfo | 使用活动目录域服务列举域信息。 |
| Kerberoast | 列出所有启用SPN的用户/服务账户或请求服务票据(TGS-REP),可以使用HashCat进行离线破解。 |
| KerbHash | 哈希密码到kerberos密钥(rc4_hmac, aes128_cts_hmac_sha1, aes256_cts_hmac_sha1, and des_cbc_md5)。 |
| Lapsdump | 从活动目录内指定的计算机中转储LAPS密码。 |
| PetitPotam | 由@topotam77发布的PetitPotam攻击的BOF实现。 |
| Psc | 显示已建立TCP和RDP连接的进程的详细信息。 |
| Psw | 显示有活动窗口的进程的窗口标题。 |
| Psx | 显示来自系统上运行的所有进程的详细信息,并提供已安装的安全产品和工具的摘要。 |
| Smbinfo | 使用NetWkstaGetInfo API收集远程系统版本信息,无需运行Cobalt Strike端口(tcp-445)扫描器。 |
| SprayAD | 对活动目录进行快速的Kerberos或LDAP密码喷涂攻击。 |
| StartWebClient | 使用服务触发器从用户环境中以编程方式启动WebClient服务。 |
| Winver | 显示正在运行的Windows版本,构建号和补丁发布(Update Build Revision)。 |
其他
| 模块名称 | 模块描述 |
|---|---|
| PetitPotam | 由@topotam77发布的PetitPotam攻击的反射性DLL实现 |
如何使用
克隆这个资源库。
每个工具都包含一个单独的README.md文件,其中有关于如何编译和使用该工具的说明。
通过这种方法,我们想让用户选择他们想使用的工具,而不必编译所有其他的工具。
如果你想一次编译所有的BOF工具,在BOF子文件夹中输入make。
标签:工具分享, cobaltstrike系列