powershell_bypass.cna 插件（适配 Cobalt Strike 4.0 的免费版本下载地址）

目录

1. powershell_bypass.cna 插件（适配 Cobalt Strike 4.0 的免费版本下载地址）

2. 生成 EXE 文件时出现 "运行异常，请查看 Script Console" 的处理方法

处理步骤

3. powershell_bypass.cna 插件的功能及实际操作步骤

功能

实际操作步骤

实际工作案例

总结

1. powershell_bypass.cna 插件（适配 Cobalt Strike 4.0 的免费版本下载地址）

powershell_bypass.cna 是一个用于 Cobalt Strike 的插件，可以通过 PowerShell 绕过杀毒软件检测，实现免杀上线。以下是一个适配 Cobalt Strike 4.0 的免费版本下载地址：

• 下载地址：GitHub - yyMing-sudo/bypassAV: 借助Win-PS2EXE项目编写cna脚本方便快速生成免杀可执行文件

  • 这个 GitHub 仓库包含多个 Cobalt Strike 插件，其中包括 powershell_bypass.cna。

  • 该版本与 Cobalt Strike 4.0 兼容，但建议下载后确认具体文件是否需要微调。

注意：Cobalt Strike 4.0 是较早的版本，部分插件可能需要手动调整以确保完全兼容。如果下载后遇到问题，可以在 GitHub 上搜索其他相关资源或联系开发者。

2. 生成 EXE 文件时出现 "运行异常，请查看 Script Console" 的处理方法

在使用 powershell_bypass.cna 插件生成 EXE 文件时，如果出现 "运行异常，请查看 Script Console" 的错误，可以按照以下步骤排查和解决：

处理步骤

1. 查看 Script Console 输出

   • 在 Cobalt Strike 客户端中，点击菜单栏的 View -> Script Console。

   • 查看控制台中的具体错误信息，例如缺少依赖、语法错误或路径问题。

2. 检查插件与 Cobalt Strike 版本兼容性

   • 确保 powershell_bypass.cna 的版本适用于 Cobalt Strike 4.0。如果不兼容，可能需要从其他来源下载适配版本或修改脚本。

3. 检查 PowerShell 环境

   • 确认你的运行机器（Win11）已安装 PowerShell，并且版本足够新（建议 PowerShell 5.0 或以上）。

   • 在命令提示符或终端中运行以下命令检查版本：

     powershell -version

4. 检查插件配置

   • 用文本编辑器打开 powershell_bypass.cna 文件，检查其中是否有硬编码的路径或配置与你的系统不符。

   • 例如，插件可能默认调用 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe，但在 Win11 中路径可能有所不同。

5. 修复或更新插件

   • 如果错误与路径或命令不兼容有关，可以手动编辑 .cna 文件，更新为 Win11 的实际 PowerShell 路径。

6. 重新加载插件并测试

   • 修改完成后，在 Cobalt Strike 中重新加载插件（Cobalt Strike -> Scripts -> Load），然后再次尝试生成 EXE 文件。

3. powershell_bypass.cna 插件的功能及实际操作步骤

powershell_bypass.cna 插件的主要功能是通过 PowerShell 生成免杀的 EXE 文件，绕过杀毒软件（如 Windows Defender）的检测，并在目标系统上运行后回连到 Cobalt Strike。以下是其功能和针对 Win11 的操作步骤。

功能

• 生成免杀 Payload：利用 PowerShell 脚本生成 EXE 文件，减少被杀毒软件检测的几率。

• 自动化上线：生成的 EXE 文件在目标系统运行后，会自动连接到 Cobalt Strike 的监听器。

实际操作步骤

1. 下载并安装插件

   • 从上述地址（https://github.com/001SPARTaN/aggressor_scripts）下载 powershell_bypass.cna。

   • 在 Cobalt Strike 客户端中，点击 Cobalt Strike -> Scripts -> Load，选择 .cna 文件加载插件。

2. 配置监听器

   • 在 Cobalt Strike 中创建一个监听器：

     • 点击 Cobalt Strike -> Listeners -> Add。

     • 选择类型（如 windows/beacon_http/reverse_http），设置端口（例如 4444）和主机地址。

3. 生成 EXE 文件

   • 加载插件后，在 Beacon 控制台中输入插件提供的命令（通常是 powershell_bypass 或类似命令，具体命令可能因插件版本而异）。

   • 选择刚刚配置的监听器，指定输出路径，生成 EXE 文件。

4. 上传并执行 EXE 文件

   • 将生成的 EXE 文件上传到目标系统（Win11），可以通过 WebShell、FTP 或其他方式。

   • 在目标系统上运行 EXE 文件（例如通过命令行或双击执行），Beacon 会回连到 Cobalt Strike。

实际工作案例

• 场景： 你通过一个 Web 漏洞在目标 Win11 系统上部署了一个 Webshell，但目标系统安装了 Windows Defender，直接运行 Cobalt Strike 默认生成的 Beacon EXE 文件会被拦截。

• 解决方案：

  1. 使用 powershell_bypass.cna 插件生成一个免杀的 EXE 文件。

  2. 通过 Webshell 将 EXE 文件上传到目标系统的 C:\Users\Public 目录。

  3. 在 Webshell 中执行以下命令运行 EXE 文件：

     C:\Users\Public\payload.exe

  4. EXE 文件成功绕过 Windows Defender 的检测，Beacon 回连到你的 Cobalt Strike 监听器（例如 IP: 192.168.1.100，端口: 4444），你获得目标系统的控制权。

总结

• 插件下载： 从 https://github.com/001SPARTaN/aggressor_scripts 获取适配 Cobalt Strike 4.0 的 powershell_bypass.cna。

• 异常处理： 查看 Script Console，检查兼容性、PowerShell 环境和插件配置，必要时修改脚本。

• 插件功能： 生成免杀 EXE 文件，绕过杀毒软件并上线到 Cobalt Strike。

• 操作步骤： 下载插件 -> 加载插件 -> 配置监听器 -> 生成 EXE -> 上传并执行。

• 工作案例： 通过 Webshell 上传免杀 EXE，绕过 Windows Defender，成功控制目标 Win11 系统。