CobaltStrike逆向学习系列(4):Beacon 上线协议分析

最新推荐文章于 2025-03-05 20:40:12 发布
原创 最新推荐文章于 2025-03-05 20:40:12 发布 · 440 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #web安全 #安全

本文详细分析了CobaltStrike Beacon的上线协议,包括Beacon发送过程中的InternetOpenA、InternetConnectA等函数调用,以及TeamServer使用NanoHTTPD库处理HTTP请求的逻辑。Beacon信息经过加密后发送,TeamServer接收到请求后进行解密并初始化BeaconEntry,注册加密Key。整个流程涉及C2Profile解析、加密解密操作和监听器配置。

这是[信安成长计划]的第 4 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Beacon 发送

0x02 TeamServer 处理

0x03 流程图

0x04 参考文章

在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。

因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。

0x01 Beacon 发送

通过导入表能够很明显的看到通信相关的函数,所以就直接在关键函数上下断

图片

首先调用 InternetOpenA 传入了 agent

图片

接着是 InternetConnectA 传入 IP 与端口

图片

之后便是 HttpOpenRequestA 传入了请求类型和 URI

最低0.47元/天 解锁文章
精选资源
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CobaltStrike逆向学习系列(15):CS功能分析-BOF
SecSource_Stars的博客
02-22 985
这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF功能分析 在 CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个 它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好 在实际调用的时候,
CobaltStrike逆向学习系列(8)Beacon 结果回传流程分析
SecSource_Stars的博客
01-19 3263
这是[信安成长计划]的第 8 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 接收与处理 0x02 结果回传 Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller 0x01 Beacon 接收与处理 直接在通信相关函数上下断,HttpSendRequest 发送任务,InternetReadFile 接收任务 跟出函数以后再根据其上下文分析,也就能推
IBeacon协议分析
ALDRIDGE1的专栏
01-16 1万+
IBeacon协议分析 跳转至: 导航、 搜索 对于一个UUID是E2C56DB5-DFFB-48D2-B060-D0F5A71096E0, major是0, minjor是0的iBeacon,此时的Tx的信号是-59 RSSI,他的BLE的广播包如下: d6 be 89 8e 40 24 05 a2 17 6e 3d 71 02 01 1a 1a ff 4c 00 02 15 e2
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 921
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
【Wi-Fi 802.11协议】管理帧 之 Beacon帧详解
热门推荐
luffy5的博客
11-23 5万+
Beacon帧简介 信标帧,由AP以一定的时间间隔周期性发出,以此来告诉外界自己无线网络的存在。 Beacon帧组成 下图为Beacon帧的组成 下图为抓包所得(AP为2.4g 11n模式),Packet Info为抓包软件自己添加的字段,可以看到一些基本信息,这里不做分析。 802.11 MAC Header 仔细观察不难发现,802.11 MAC Header 图中的字段与帧组成图中的帧相对应。 Frame Control Version:版本号     目
CobaltStrike逆向学习系列(3)Beacon C2Profile 解析
SecSource_Stars的博客
01-10 797
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike逆向学习系列(5):Bypass BeaconEye
SecSource_Stars的博客
01-10 587
这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass 0x01 Beac
BLE协议Beacon信标广播
起风的博客
04-05 3578
基于BLE广播的功能的协议。蓝牙Beacon并不是蓝牙技术联盟所指定的标准,因此也被称为“虚拟标准”,是由大型供货商或企业集团为首,针对广泛的Beacon应用所正式提出的蓝牙应用规范,比如苹果公司的iBeacon协议,谷歌公司的Eddystone协议。:这两个值用于识别一组iBeacons中的特定的Beacon,以进一步细分UUID下的区域或使用场景。:用于广告推送,比如商场内,当用户走进商场时打开商城APP,即可看到实时的商城活动等。:应用特定的唯一标识符,用于区分不同的iBeacon部署。
CobaltStrike Beacon上线包解析
最新发布
信息安全
03-05 310
beacon/BeaconC2.java的process_beacon_metadata函数。common/BeaconEntry.java的BeaconEntry函数解析后续数据。在接收到上线包时,会在beacon/BeanHTTP.java文件中进行解析。dns/AsymmetricCrypto.class代码如下。decrypt函数功能为RSA解密,校验魔术头和数据长度。为了方便动态调试,将上线数据进行重放。RSA解密后的数据格式如下。
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 569
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
无心的博客
01-14 470
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
如何使用BeaconEye监控CobaltStrikeBeacon
MSB_WLAQ的博客
10-07 1141
关于BeaconEye BeaconEye是一款针对CobaltStrike安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。 工作机制 BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beaco...
Beacon浅析
weixin_33716941的博客
10-25 2009
作者:hongbosun 一、Beacon简介      Beacon是基于BLE技术实现的物理设备。BLE(全称Bluetooth Low Energy)是蓝牙4.0技术规范的一部分。它起源于Nokia的Wibree技术,但最终被整合进了蓝牙。这是一组与传统蓝牙不同的协议,被称之为BLE低功耗协议。BLE以超低功耗的特点被熟知,具有很大的应用价值。目前在较新的智能终端同时支持传...
杂项:蓝牙beacon简述
遇雪长安的博客
08-16 8095
蓝牙beacon
从空中截获BLE数据包看蓝牙5协议流程【第一部分:beacon广播】
weixin_42583147的博客
08-14 1万+
-------------------------------------------------------------------------------------------------------- 文章版权归为微信公众号 无线技术联盟,转载请注明出处. 作者:XCODER ------------------------------------------------------...
不出网主机的几种上线方式
mingyqf的博客
03-10 1502
原文链接:https://www.anquanke.com/post/id/254671#h2-7 不出网主机的几种上线方式 作者:SD 分享到: 发布时间:2021-11-02 10:30:15 前言 拿到一台边缘机器后,内网的机器很有可能大多数都不出网,这时又想上线cs方便后续操作。本文就如何上线不出网主机的方式进行了总结。 环境搭建 目标内网机器 os:win server 2012 ip:192.168.57.137 边缘机器 os:win server 2012 ip1:19
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值