红队行动中利用白利用、免杀、自动判断网络环境生成钓鱼可执行文件。文末获取下载方式。

通过判断目标是否出网，何种方式出网选择相应的方式上线。

选择CobaltStrike4.1 RAW格式shellcode 生成payload.bin 生成不同listener 的payload ，这里生成http和dns

点击choose将生成的payload或doc文件选择到对应选项

等待一会，成功生成目标文件和dll 到当前文件夹

点击会发现释放出真实docx文件并执行，并将exe文件设为隐藏。

过一会CS会上线。

注意

生成马需要visual studio环境，这里是visual studio 2017

判断出网方式 TCP、DNS √

依据不同的出网方式进行shellcode加载 √

利用lolbins结合dll劫持执行shellcode √

静态扫描检测：

动态执行扫描检测：

工具来源：https://github.com/dr0op/CrossNet-Beta