REDMED-X/OperatorsKit

# OperatorsKit 本仓库包含一系列与 Cobalt Strike 集成的 Beacon Object Files (BOF)。 ## Kit 内容 目前 OperatorsKit 中包含以下工具： |名称|描述| |----|----------| |**[AddExclusion](KIT/AddExclusion)**|为文件夹、文件、进程或扩展名向 Windows Defender 添加新的排除项。| |**[AddFirewallRule](KIT/AddFirewallRule)**|添加新的入站/出站防火墙规则。| |**[AddLocalCert](KIT/AddLocalCert)**|将（自签名）证书添加到特定的本地计算机证书存储区。| |**[AddTaskScheduler](KIT/AddTaskScheduler)**|在当前或远程主机上创建计划任务。| |**[BlindEventlog](KIT/BlindEventlog)**|通过挂起线程来致盲 Eventlog。| |**[CaptureNetNTLM](KIT/CaptureNetNTLM)**|捕获当前用户的 NetNTLMv2 哈希。| |**[CredPrompt](KIT/CredPrompt)**|启动持久化凭据提示，以尝试捕获用户凭据。| |**[DelExclusion](KIT/DelExclusion)**|从 Windows Defender 中删除针对文件夹、文件、进程或扩展名的排除项。| |**[DelFirewallRule](KIT/DelFirewallRule)**|删除防火墙规则。| |**[DelLocalCert](KIT/DelLocalCert)**|从特定存储区删除本地计算机证书。| |**[DelTaskScheduler](KIT/DelTaskScheduler)**|删除当前或远程主机上的计划任务。| |**[DllComHijacking](KIT/DllComHijacking)**|通过在目标主机上实例化 COM 对象来利用 DLL 劫持。| |**[DllEnvHijacking](KIT/DllEnvHijacking)**|DLL 环境劫持的 BOF 实现。| |**[EnumDotnet](KIT/EnumDotnet)**|枚举最有可能已加载 .NET 的进程。| |**[EnumDrives](KIT/EnumDrives)**|枚举驱动器号和类型。| |**[EnumExclusions](KIT/EnumExclusions)**|检查 AV 排除的文件、文件夹、扩展名和进程。| |**[EnumFiles](KIT/EnumFiles)**|根据单词、扩展名或文件内容中的关键字搜索匹配的文件。| |**[EnumHandles](KIT/EnumHandles)**|枚举进程之间的“进程”和“线程”句柄类型。| |**[EnumLib](KIT/EnumLib)**|枚举远程进程中加载的模块。| |**[EnumLocalCert](KIT/EnumLocalCert)**|枚举特定存储区中的所有本地计算机证书。| |**[EnumRWX](KIT/EnumRWX)**|枚举目标进程中的 RWX 内存区域。| |**[EnumSecProducts](KIT/EnumSecProducts)**|枚举当前/远程主机上运行的安全产品（如 AV/EDR）。| |**[EnumShares](KIT/EnumShares)**|使用预定义的主机名列表枚举远程共享及其访问级别。| |**[EnumSysmon](KIT/EnumSysmon)**|通过检查注册表并列出 Minifilter 驱动程序来验证 Sysmon 是否正在运行。| |**[EnumTaskScheduler](KIT/EnumTaskScheduler)**|枚举根文件夹中的所有计划任务。| |**[EnumWebClient](KIT/EnumWebClient)**|根据预定义的主机名列表查找运行 WebClient 服务的主机。| |**[EnumWSC](KIT/EnumWSC)**|列出在 Windows 安全中心注册的安全产品。| |**[ExecuteCrossSession](KIT/ExecuteCrossSession)**|通过 COM 跨会话交互在另一个用户的上下文中执行二进制文件| |**[ForceLockScreen](KIT/ForceLockScreen)**|强制锁定当前用户会话的屏幕。| |**[HideFile](KIT/HideFile)**|通过将属性设置为系统文件 + 隐藏来隐藏文件或目录。| |**[IdleTime](KIT/IdleTime)**|根据用户的最后输入检查当前用户的活动状态。| |**[InjectPoolParty](KIT/InjectPoolParty)**|注入 Beacon shellcode 并通过 Windows Thread Pools 执行。| |**[KeyloggerRawInput](KIT/KeyloggerRawInput)**|基于 RegisterRawInputDevices 的键盘记录器。| |**[LoadLib](KIT/LoadLib)**|通过 RtlRemoteCall API 在远程进程中加载磁盘上存在的 DLL。| |**[PSremote](KIT/PSremote)**|枚举远程主机上所有正在运行的进程。| |**[PasswordSpray](KIT/PasswordSpray)**|使用 kerberos 认证针对多个账户验证单个密码。| |**[SilenceSysmon](KIT/SilenceSysmon)**|通过修补 Sysmon 服务向日志写入 ETW 事件的能力来使其静音。| |**[SystemInfo](KIT/SystemInfo)**|通过 WMI 枚举系统信息（用例有限）。| |**[WiFiPasswords](KIT/WiFiPasswords)**|枚举所有保存的 SSID，然后检索每个 AP 存储的明文密码。| ## 用法 每个工具都有自己的 README 文件，其中包含用法信息和编译说明。 也可以通过 Cobalt Strike 脚本管理器加载 `OperatorsKit.cna` 脚本，直接导入所有工具。此外，现在可以在 `x64 Native Tools Command Prompt for VS <2019/2022>` 终端中使用 `compile_all.bat` 脚本进行批量编译。 ## 致谢 向为其中几个工具的开发奠定基础的所有人致以虚拟的掌声。更多致谢信息可在相应的 README 文件中找到。 此外，还使用了 [CS-Situational-Awareness-BOF](https://github.com/trustedsec/CS-Situational-Awareness-BOF/blob/master/src/common/base.c) 项目中的一些代码来整洁地打印 Beacon 输出。 ## 🚀 支持 OperatorsKit 如果 OperatorsKit 对您的红队交战有价值，无论是节省了开发时间还是增强了您的实战技巧，请考虑赞助其持续开发，并助力其迈向新的台阶。

标签：Beacon Object Files, BOF, C2 框架扩展, Cloudformation, Cobalt Strike, DLL 劫持, NetNTLM 捕获, RFI远程文件包含, SIEM, TGT, Web报告查看器, Windows Defender 排除项, Windows 安全, 中高交互蜜罐, 事件日志操作, 凭据窃取, 发现与枚举, 后渗透, 嗅探欺骗, 大语言模型, 安全测试工具集, 客户端加密, 客户端加密, 客户端加密, 恶意软件开发, 攻击诱捕, 攻防演练, 数字证书管理, 权限维持, 欺骗防御, 流量嗅探, 私有化部署, 端点可见性, 网络安全审计, 计划任务, 防御绕过, 防御规避, 防火墙规则