寫在前面
此前遇到一個最新版的Windows Defender,一直想上Cs打內網方便一點,但是奈何一直繞不過去,大概試了這些方法
然後最近看文章發現倆個東西(感謝倆位開發者):https://github.com/gloxec/CrossC2https://github.com/Lz1y/GECC/
這是倆個Cs的ExternalC2,cs除了默認內置的控制方式以外還支持自定義c2的開發
第一個CrossC2是一個支持Linux系統的客戶端,不過不太完善支持shell操作第二個是一個Golang開發的windows的客戶端,理論上來說之前通過研究發現Defender攔截的是啟動時候的打頭馬,和上線之後發送的stage,如果使用自定義的c2,那麼stage的特徵就變了就可以達到繞過Defender等其他Av的目的
修改代碼
先修改一下Main.go中的代碼,把8.8.8.8改成你自己的teamserver就可以了
我這裡修改成了從參數加載,省的以後重新編譯了
然後新建一個cna腳本,埠就是上面的埠
externalc2_start("0.0.0.0",2222)安裝編譯
該程序似乎不能跨平臺編譯,所以需要一臺window環境需要安裝:Golang,MingW-w64
然後打開Mingw切換到項目目錄編譯就可以了
C:\Program Files\mingw-w64\x86_64-8.1.0-posix-seh-rt_v6-rev0\mingw-w64.batgo build -o bin/win.exe -ldflags "-H=windowsgui -s -w" main.go成功上線首次上線的時候沒有外網IP,還有掃描的時候會掉線,lasttime也不會更新,可以直接spawn一個新的listener就可以