简单好用的CobaltStrike提权插件

大家好，我是3had0w，今天给大家分享一个我最近在写的CobaltStrike后渗透插件(PostExpKit)，目前暂时只完成了提权模块，其他模块功能还在编写和测试...。

为什么写这个插件？

因为之前用其他师傅的插件发现不是很全，很多常用exp都没有，用起来也不太习惯，有的插件部分代码也是copy的，可能都没测试过，根本没法使用，所以想根据自己的经验和习惯写一款适合自己用的提权插件。

写这个插件只是为了更高效的进行提权测试，但没有涉及免杀这部分内容，实战中还是得看遇到啥样的场景，然后再根据自己积累的实战经验去做测试......。

插件特点及功能简介

插件基于OPSEC原则去写，我们进行后渗透时应当尽量避免使用fork&run模式的命令，尽可能避免在Beacon下使用cmd.exe、powershell.exe等高危进程去执行命令和程序，这样能有效规避AV/EDR的检测和拦截...。

https://www.cobaltstrike.com/help-opsec
https://hausec.com/2021/07/26/cobalt-strike-and-tradecraft/

插件主要用到以下执行方式，建议按顺序选择：

BOF内存执行（inline-execute）
NET内存执行（InlineExecute-Assembly）
NET内存执行（execute-assembly）
DLL反射执行（bdllspawn）
EXE内存执行（BOFRunPortable）
EXE落地执行（sharpcmd、shell）
[...SNIP...]

目前该插件的提权模块主要包含以下常用功能：

1. 扫描指定用户可读写目录
2. 检查可利用漏洞/错误配置
3. 内存执行EXE/.NET文件
4. 10几种UAC绕过技术合集
5. 列出所有可模拟令牌/利用
6. 读取SAM注册表获取哈希值
7. 常用MS/CVE提权利用工具
8. 常用Potato提权利用工具
9. Potato提权可执行命令/上线
[...SNIP...]

提权模块部分功能演示

这里以EfsPotato土豆为例演示，可以在不同场景下选择command执行命令或shellcode直接上线，纯半自动化傻瓜式操作，只需点几下就能getsystem。

command执行命令：

shellcode直接上线：