0x01 netbios加解密
因为我也才学golang,基本面向github编程,在网上只找到python版加解密的方式,所以需要翻译成go语言。通过正则匹配加密传输的内容,解密执行获取cmdtype对应的操作,然后加密发送。
编写加密代码:
func NetbiosEncode(data []byte) string{q := ""for _,value := range data{q += string((int(value)>>4) + int('a'))+string((int(value)&0xf + int('a')))}return q}
最终成功上线如下,能够看见心跳包与执行命令都是正常的,说明加解密是没问题的:
0x02 项目优化
因为上线后,显示如下,开始我以为是CS显示问题,后来发现是代码实现问题:
computer 与 prcoess 都不能正确获取,我们定位到sysinfo文件夹下meta.go文件,其中实现了收集beacon所在机器基本信息。
BUG-1:获取进程名
func GetProcessName() string {processName := os.Args[0]//fmt.Printf("processName: %vn", processName)// C:UsersadminDesktopcmd.exe// ./cmdslashPos := strings.LastIndex(processName, "\")if slashPos > 0 {return processName[slashPos+1:]}backslashPos := strings.LastIndex(processName, "/")if backslashPos > 0 {return processName[backslashPos+1:]}return "unknown"}
这里原作者想到的是,带路径的执行参数,但是经过我测试,os.Args[0]获取到的就是当前exe名称,并不是一个绝对路径,如果是绝对路径可以通过下面判断截取EXE名。这里修改也简单,直接return processName就正常了。
BUG-2:获取机器名
func GetComputerName() string {sHostName, _ := os.Hostname()fmt.Printf("sHostName: %vn", sHostName)// message too long for RSA public key sizeif len(sHostName) > 10 {sHostName = sHostName[1 : 10-1]}if runtime.GOOS == "linux" {sHostName = sHostName + " (Linux)"} else if runtime.GOOS == "darwin" {sHostName = sHostName + " (Darwin)"}return sHostName}
这里机器名不能全部显示,确实跟他注释的原因一样,但是经过我测试发现,最长可以使用sHostName[0 : 14]切片。
BUG-3: 不能下载大的文件
当使用download 下载命令时,小文件可以下载,但是略微大的文件会出现如下报错:
经过多次调试实验发现,以下语句有问题(我这里通过BP抓包发现的):
fileBuf := make([]byte, 512*1024)他默认一次传输512kb数据,可是在header中如果数据过长会提示:BAD REQUEST: header length is too large
所以这里很简单,我们就一次传小点,比如2kb。重新编译就上线:
0x03 总结
到这里,整个CS beacon适用自定义profile的开发流程就介绍完毕了,优化了原程序BUG,当然还有其他很多可以优化的地方。这个项目Geacon只实现了最基本功能,不像原生beacon那么多样,你就可以使用golang实现某些CS功能,比如execute-assembly,判断cmdtype就行。因为我的需求是CS跨平台的beacon,容易免杀(golang也有一些免杀的trick),后面还可以添加反调试的功能。项目地址:https://github.com/Nan3r/geacon_apt
- 结尾 - 精彩推荐 完美收官 | 安全客官网升级岁末惊喜活动 【技术分享】 Latte-SSTI-Payloads总结 信用卡信息被窃取?随机WordPress插件遭感染可能是原因之一! 戳“阅读原文”查看更多内容 原文始发于微信公众号(安全客):【技术分享】从零开始开发CS beacon(三)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论