【Cobalt-Strike】使用 IntelliJ IDEA构建二次开发环境
2023-6-24 20:2:17 Author: 渗透安全团队(查看原文) 阅读量:43 收藏

何为反编译?

顾名思义,反编译的的概念与编译相反,说白了就是将已封装好的程式还原到未封装的状态,目的是找出程序的源代码

首先我们先找到 IntelliJ IDEA 中的 java-decompiler.jar 文件,java-decompiler.jar 是 IntelliJ IDEA 自带的反编译插件,一般存在此目录下:

IntelliJ IDEA存放位置\plugins\java-decompiler\lib\

然后将 coablt_strike 拷贝到进行二次开发的目录中,再新建两个目录(这里我命名为 cs-begincs-end ),其中 cs-begin用来存放未反编译的 Cobalt Strike , cs-end 用来存放反编译后的源码,因为这里我们是对原版 Cobalt Strike 进行二次开发,所以文件夹中不存放 CSAgent (Cobalt Strike 破解工具),只放入 cobaltstrike.jar ,再把 java-decompiler.jar 放在你需要反编译的jar包路径的上级目录

随后执行命令(这里我写的有点麻烦了,大家写绝对路径就可以),一开始我使用的是 JDK 15 报 加载主类时出现 LinkageError 错误,改为 JDK 17 后解决,如果懒得折腾 JDK 版本,可以用 jd-guiCFR 这类反编译工具,这些工具通常都有独立的可执行文件,不需要使用 java 命令来运行 jar 文件

java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dsg=true D:\ShenTou\CobaltStrike\coablt_strike(2)\cs-begin\cobaltstrike.jar
D:\ShenTou\CobaltStrike\coablt_strike(2)\cs-end

# java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dsg=true cs原版路径 二次开发目录

运行成功后,会出现这样的页面,稍等 2-3 分钟就好

之后我们在解压缩一下 cobaltstrike.jar 就可以获得源码了

如果成功反编译,你解压缩后的文件是 .java 格式

反之,如果没有成功,文件是 .class 格式




付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247506677&idx=3&sn=389266ee582a06c8e4ffb091075b6997&chksm=c176275af601ae4c4cb9a007968a8b7a0a6a30723f68507ced1a46ac73f76e35ed71d00230ae#rd
如有侵权请联系:admin#unsafe.sh