一个可以伪装上线Cobaltstrike的脚本
@Author：F12团队成员 LiAoRJ
相关原理文章已经发布在奇安信攻防社区 地址： https://forum.butian.net/share/708

脚本使用方法 先利用项目中解密Publickey
https://github.com/Sentinel-One/CobaltStrikeParser
python parse_beacon_config.py stage文件名 —json 在Public_key.txt中放入通过Beacon解密获得的Publickey
在Process_name.txt 中加入上线进程的字典
在Computer_name.txt 中加入受控机名称的字典
在User_name.txt 中加入受控机用户名的字典

公众号:F12sec