文章总结： 本文阐述了基于CobaltStrike的高级LNK快捷方式全自动化攻击方案，实现了LNK上线后的自动进程注入与权限维持。该方案集成BOF插件与自动化脚本，支持PPID欺骗及间接系统调用，通过内存映射管理状态以避免重复操作并提升隐蔽性，最终完成自动化权限维持与原会话清理，适用于模拟高级攻防演练。 综合评分： 85 文章分类： 红队,内网渗透,免杀,安全工具,渗透测试

高级LNK快捷方式自动维持权限与进程注入

原创

陆安予

白帽子安全笔记2.0

2025年12月27日 15:48 江苏

在使用高级LNK快捷方式后，现在，我在其基础上实现了全自动化，无需人工干预。

流程图如下:

触发on beacon_initial($bid)检查进程类型进程是rundll32.exe?是否直接返回等待3秒，待[进程注入]插件标记在map中检查状态维持权限过?是否追加已维持标记更新map,进行维持权限追加已维持标记执行维持权限任务退出原始BeaconBeacon连接脚本

一、使用与效果

使用方法：

Cobalt Strike菜单—ScriptManager 1.加载高级进程注入BOF插件； 2.加载专用维持权限BOF插件； 3.加载进程注入自动化脚本； 4.加载维持权限自动化脚本；

执行过程： LNK上线—>自动进程注入—>自动维持权限—>退出原会话

执行日志

进程注入需配置载荷路径，可指定完全无法检测的有效载荷payload_x64.bin。

已维持权限的机器将记录至map，为增强隐蔽性避免重复执行，可手动清空。

[12/27 14:46:58] beacon> show_persist_map
[12/27 14:46:58] [+] Current Persisted Targets:
[12/27 14:46:58] [+]  - PC7_user7
[12/27 14:46:58] [+]  - PC6_user6
[12/27 14:46:58] [+] Total: 2 targets in memory.

[12/27 14:49:40] beacon> clear_persist_map
[12/27 14:49:40] [+] Success: Persistence Map has been cleared from TeamServer memory.

二、技术特点

• • 高扩展性，各部分负责单独的任务。
• • 高绕过能力，PPID欺骗，间接系统调用等。

三、使用场景

• • 模拟高级攻防，提升信息安全意识。
• • 适用于廉政，公安等场景。

注意：此类进攻性方案需签订《红队工具销售与使用合规协议》

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • DLL侧载和DLL代理
• • [版本更新]高级lnk快捷方式武器化GUI
• • 大幅更新-高级lnk快捷方式新技术
• • 完全无法检测的cobaltstrike更新
• • [工具发布]幻影加载器GUI，高级堆栈欺骗
• • [工具发布]高级lnk快捷方式武器化GUI
• • AV终结者结束进程
• • LNK快捷方式的检测与突破
• • 红队加载器过主流杀软-混淆最终版
• • 红队有效载荷加载器
• • 10行代码即可免杀全球绝大多数杀毒软件
• • Cobaltstrike4.9.1平台高级匿名技术手册
• • Cobaltstrike4.9.1平台基础部署手册
• • 全网唯一，高级LNK快捷方式新技术发布
• • 高级lnk快捷方式武器化
• • 顶级武器-完全无法检测的cobalt strike

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予《高级LNK快捷方式自动维持权限与进程注入》