关于beacon,很杂,整理很乱
前言
cobaltstrike是一款真的不错的一款后渗透工具,官方设计初衷从来就不是开箱即用的一款产品,官方更加强调于设计整个灵活性。
关于交互
客户端和服务端的交互:
客户端和服务端的交互是采用socket进行交互,服务端和客户端分别开启了两个线程,一个负责读,一个负责写,交互是采用序列化对象的方式。
服务端和植入物的交互:
服务端和植入物的交互是采用http,https,dns等协议进行交互处理的,其中采用的协议为aes加密,这只是服务端默认处理的,还有我们c2profile可以去修改一些交互方式,流量请求的数据。
关于beacon
植入物上线服务端采用的协议大致如下:
详细的输入如下:
这是协议图。
程序解密图:
关于灵活性
cobaltstrike可以扩展为域前置或者云函数等方式作为一个跳板,目前针对cobaltstrike的方式实现了另外一种方式,payload理论上可以存在互联网任何地方,例如邮件,共享文件,发表文章,论坛评论等等,相当于cobaltstrike的扩展C2[externC2],只要服务器可以访问到即可,可以进一步隐藏你的C2服务的实际地址,发出流量也是可信任的流量,目前还不是特别完善。
希望对大家有所帮助。
长按关注我们吧
原文始发于微信公众号(bytecode11):cobaltstrike篇二-beacon篇
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论