Patch Cobalt Strike 4.0

拿到得程序如下:

-w270

压缩包里面存在附一条启动命令:

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M -jar cobaltstrike.jar $*

启动报错:

-w320

这里的说的authorization file明显就是cobaltstrike.auth

简单搜一下:

-w476
-w1323

把代码都复制过来,处理下报错:

-w1586

调用:

-w454

上来就先Invalid authorization file
明显resources/authkey.pub没有加载过来。

-w1527

改一下:

-w1176

给出得密钥文件运行到这里就直接return结束了。

2F39DF26-A29B-46EA-9F12-129C8D383DEB

既然等于0就结束了,那么把这里得0修改成其他值是不是就可以了?(cs3就是这个破解思路)

-w316

明显是不得行的。在License方法中有校验:

-w907

checkLicenseGUI函数得第一个判断就是检测凭证是否有效。值来源于:

-w277

对应修改一下:

-w277

然后提示过期:

-w483

懒人得做法:直接将这个判断删掉。

-w1018

改完就可以直接进加载出UI来了。
67ADD37F-7926-40B1-9AC8-AFAFFF6ECB0E

对应的也报了不少错误,并不能正常运行...说明还有多处校验了.

这种动不动就删减代码的破解方式自然不是最佳方案。

回归到:

-w904

既然是因为密钥文件不对而导致的这里对比失败,那么直接硬写一条正确的结果进去即可:

-w1007

比如:

C4C0BB95-040B-46B2-9C01-DE985474A38A
-w1236

至于这个正确的结果如何拿到,就得感谢有花钱购买以及分享出来的师傅了给予白嫖的机会了。

-w955

去除exit暗桩:

-w955

指纹似乎不存在,listener问题也不存在。

阿门,原谅我没钱只能白嫖了...

一个热爱域渗透/WAF绕过/免杀/代码审计/工具开发的憨批