文章总结： 本文介绍GodPotatoBOF工具，这是专为CobaltStrike设计的BOF插件，移植GodPotato提权功能，支持双模式提权（默认窃取SYSTEM令牌创建新进程或注入当前Beacon），通过内存执行提升隐蔽性并规避检测。文档提供编译安装步骤、CS使用命令示例及二开版本功能，但包含公众号推广和知识星球付费内容。 综合评分： 75 文章分类： 红队,内网渗透,安全工具,渗透测试,实战经验

GodPotatoBOF – CS专用提权BOF插件

原创

3had0w 3had0w

潇湘信安

2026年4月22日 08:30 湖南

在小说阅读器读本章

去阅读

| Ima知识库名称 | 加入条件 | | — | — | | 潇湘信安协同知识库（更新~ing!） | 限时免费 | | 潇湘信安学习资料库（更新~ing!） | ≥3年粉丝 | | 潇湘信安内部知识库（更新~ing!） | 星球成员 |

在红队攻防演练中，本地提权是获取目标主机最高权限的关键步骤。今天给大家分享一款专为 Cobalt Strike 打造的提权 BOF 工具 — GodPotatoBOF，它是经典提权工具 GodPotato 的 BOF 移植版，让你在 CS 中一键实现 SYSTEM 权限获取！

0x01 工具简介

GodPotatoBOF 是基于 Beacon Object File 技术开发的 Cobalt Strike 扩展工具，完美移植了GodPotato的提权逻辑，无需落地exe文件，直接在内存中执行提权操作，极大提升了攻击隐蔽性，规避EDR/杀软检测。

核心功能

1、双模式提权

默认模式：窃取 SYSTEM 令牌并创建新进程执行命令Token 模式：将 SYSTEM 令牌注入当前Beacon，直接接管最高权限

2、灵活配置

支持自定义执行命令支持自定义命名管道名称内置帮助文档，快速上手

3、轻量化无感知

纯BOF实现，内存执行无文件落地，不留痕迹兼容主流Windows系统

0x02 快速上手

1. 编译安装

# 克隆项目git clone https://github.com/incursi0n/GodPotatoBOFcd GodPotatoBOF# 编译生成BOF文件make

2. Cobalt Strike 使用

• 打开CS客户端，导入godpotato.cna脚本
• 在Beacon控制台直接使用godpotato命令

3. 常用命令示例

# 基础提权（默认执行whoami）godpotato
# 注入SYSTEM令牌到当前Beacongodpotato token
# 执行自定义提权命令godpotato -cmd "cmd /c whoami /priv"
# 自定义管道名称godpotato -cmd "whoami" -pipe "mycustompipe"

0x03 二开版本

我们在这项目原有功能基础上改了一版，并已集成到之前的CS插件中，加了个-bypass参数用于绕过某些防护场景，但不一定都能过…。

写好的插件已发到我的星球，需要的师傅请自取！

下载地址

点击下方名片进入公众号

回复关键字【260419】获取下载链接

知 识 星 球

星球已过800人，暂不再发放优惠券，如还有需要的师傅可加我VX：S_3had0w，等你一起来学习…！

| Ima知识库名称 | 加入条件 | | — | — | | 潇湘信安协同知识库（更新~ing!） | 限时免费 | | 潇湘信安学习资料库（更新~ing!） | ≥3年粉丝 | | 潇湘信安内部知识库（更新~ing!） | 星球成员 |

| | | | — | — | | | |

推 荐 阅 读

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：潇湘信安 3had0w 3had0w《GodPotatoBOF – CS专用提权BOF插件》