文件名称:spoolsystem:打印后台处理程序被命名为“模拟钴”的管道模拟
文件大小:2.14MB
文件格式:ZIP
更新时间:2024-04-10 03:21:30
cna C
线轴系统 SpoolSystem是Cobalt Strike的CNA脚本,它使用@ itm4n的Print Spooler命名管道模拟技巧来获得SYSTEM特权,而无需创建任何新进程或依靠跨进程Shellcode注入(如果使用了selfinject方法)。 跑步 该脚本支持两种模式: selfinject:这可能是您要使用的一种。它通过当前过程中的自我注入来触发假脱机RPC方法。这是OPSEC的最佳选择,但理想情况下应在您不介意崩溃的过程中完成(以防万一)。 spawn:使用bdllspawn触发假脱机RPC方法,因此启动另一个进程(对OPSEC不利) 两种模式都允许仅具有SeImpersonatePrivilege的用户在当前信标会话中获得SYSTEM特权。如果您具有的权限提升可以为您提供LOCAL SERVICE , NETWORK SERVICE或类似NETWORK SERVIC
【文件预览】:
spoolsystem-main
----cna()
--------spoolsystem.cna(3KB)
--------bin()
----Readme.md(1KB)
----spoolsystem.gif(2.18MB)
----SpoolTrigger.sln(1KB)
----.gitignore(6KB)
----SpoolTrigger()
--------ReflectiveLoader.cpp(21KB)
--------ms-rprn_c.c(119KB)
--------ms-rprn.idl(3KB)
--------patch.h(2KB)
--------ms-rprn_s.c(105KB)
--------ReflectiveDllInjection.h(3KB)
--------ReflectiveLoader.h(7KB)
--------SpoolTrigger.vcxproj.filters(2KB)
--------dllmain.cpp(4KB)
--------SpoolTrigger.vcxproj(9KB)