Erebus CobaltStrike后渗透测试插件

Auther by S0cke3t

更新日志 2020-03-08

• 添加cookie steal

  支持搜狗,360,360极速,QQ,火狐,谷歌,2345
  更多使用事项请移步Browser-cookie-steal
  详见:post----Steal-cookie

  

更新日志 2019-12-30

• 添加SafetyKatz

  此功能为一个修改的mimikatz,截至目前(2019-12-30)此方式可绕过大部分AV检测和运行
  详见:Interact----SafetyKatz 命令

• 添加Seatbelt

  此功能是一个信息收集模块,可实现对目标系统,用户等其他信息的收集整理, 用户可指定收集的条目
  详见:Interact----Seatbelt 命令
  Usage
  Seatbelt 帮助信息
  Seatbelt system 收集系统信息
  Seatbelt user 收集用户信息
  Seatbelt xxx yyy 指定收集条目

更新日志 2019-12-18

• 添加EventLogMaster第三方工具的RDP痕迹清除模块

  详见: Third-party----EventLogMaster

• Screenshot

  

  清除登陆者为172.16.12.5的RDP记录
  关于Logon type请参考Windows Logon Type的含义

  

更新日志 2019-12-09

• 修复BUG

• 添加powershell访问限制下执行powershell功能

  详见: Post---Sharpshell
  Note: 此功能需要目标支持 .Net Framework 2.0

  

更新日志 2019-11-22

• 添加RdpThief第三方模块【详见Third-party菜单】

  此模块可从目标RDP客户端中提取明文账户密码
  Note: 需要目标支持Visual C++ 2015 Redistributable 或更高版本支持
  rdpthief-enable ----- 注入mstsc
  rdpthief-disable ----- 停止
  rdpthief-dump ----- 获取明文信息

  

• 添加 CVE-2019-1322 & CVE-2019-1405 COM本地提权模块

  Note: 使用此模块时sleep时间不宜过短

  

更新日志 2019-11-4

• 添加MS16-032提权模块

  利用后需要手动清理残留文件

  

更新日志 2019-10-13

• 添加关于菜单

  用户手册(更新中)
  检查更新

• Juicy Potato Payload文件采用随机名称

• 清理本地残留文件

更新日志 2019-10-06

• 持久化

  自启动添加Winlogon,Logon Scripts支持
  添加服务注册

  

更新日志 2019-10-05

• 重新组织代码结构,采用模块化设计

  modules(插件各模块文件夹)
  server(建议放到服务端运行的插件)

• 提权模块调整至Local Privilege Escalation选项卡

  后续本地权限提升功能会添加到该菜单

• 新增Juicy Potato本地提权模块

  

更新日志 2019-09-30

• 添加自启动.

  支持Run,RunOnce,RunOnceEx

  

• 整合IFEO菜单为Persistent

  后续持久化功能会添加到该菜单

参考文献

Windows中常见后门持久化方法总结
RdpThief Github传送门
RdpThief 原理
提权: 武器化CVE-2019-1405/CVE-2019-1322
如何绕过PowerShell访问限制并实现PowerShell代码执行
EventLogMaster-RDP日志取证&清除