PostExpKit插件更新：进程注入模块

今天更新下PostExpKit插件的进程注入模块，目前已集成CS内置进程注入命令spawnto、spawn、inject，另外还有PoolPartyBof、ThreadlessInject和CS-Remote-OPs-BOF下Injection（12种注入方式），总计有20+进程注入方式吧，也可将shellcode注入到指定进程中执行...。

有关PostExpKit插件的其他功能模块和更新记录可以看之前发的几篇文章：

• 简单好用的CobaltStrike提权插件
• PostExpKit - 20240423更新
• PostExpKit插件更新：用户操作模块

实战应用场景

我们实战测试中如果使用默认进程注入方式被某些杀软检测拦截，这时可以尝试使用这个进程注入模块中的方法PoolPartyBof、ThreadlessInject、Injection等。

建议注入到一些可信白名单进程......，因为这样不容易被检测拦截，实战中常遇到的以下几个场景（仅供参考）。

目标主机存在某些安全防护软件，检测拦截CS默认注入进程行为、进程链等情况；
目标主机存在Windows Defender，Beacon执行命令会被拦截，导致掉线等情况；
线程土豆提权getuid为system高权限，但whoami为iis低权限，无法执行高权限操作等情况；
[...SNIP...]

部分功能演示

CS-Injections（BOF）：

集成多种注入方式，可以选择其中1种将本地shellcode文件注入到指定进程中执行。

PoolPartyBof（BOF）：

一个完全无法检测的滥用Windows线程池进程注入技术集合，BOF武器化支持5种技术/变体。

ThreadlessInject（BOF）：

一种新颖的进程注入技术，涉及从远程进程挂钩导出函数以获得shellcode执行，NtTerminateProcess为进程关闭时执行，NtOpenFile为打开文件后执行。

这个插件目前只在我的知识星球公开，最新版插件可在下方领取优惠券进星球下载，更多适用于后渗透实战的脚本功能正在陆续测试，敬请期待..！