这是关于cobaltstrike的一系列分析。
篇一
关于cobaltstrike也用了很久,很久之前就想去学习学习,之前也因为原版的一些问题,出现了各种各样的泄露,被解密。。。
关于登录协议
有一些人作为修改,通过登录协议处理,修改为google动态密钥,感觉方式挺好的,不过本人不太喜欢这种方式。
下面是cobaltstrike的登录协议部分:
aggressor.browsers.Connect#dialogAction
这里有一个函数处理getPreferences(),我们跟进一下函数处理呢?
这里有一个load的函数,我们继续看看是做什么:
这里回去读取我们的配置文件:
ssl.SecureServerSocket#acceptAndAuthenticate
整体流程如下
作为针对一些修改,具体流程如下:
认证阶段基础协议属性修改,认证magic修改,返回magic修改,认证方式修改,采用加密处理:
-
离线保存:AES256
-
在线认证:MD5
加密属性是为系统属性,非固定值。
服务端不再是自定义密码,采用随机化密码方案。
目前采用的协议:
修改,增加登录自动拉黑黑限制,可以通过记录获取是否有外来人员登录或者尝试登录。
本项目将会作为开源项目,目前还在进行中。
希望对大家有所帮助。
长按关注我们吧
原文始发于微信公众号(bytecode11):cobaltstrike篇一-登录协议
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论