CobaltStrike逆向学习系列(14):CS功能分析-DotNet

最新推荐文章于 2024-09-24 16:35:05 发布
原创 最新推荐文章于 2024-09-24 16:35:05 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #系统安全 #web安全 #安全 #安全架构

本文是CobaltStrike逆向学习系列的第14篇,重点解析CobaltStrike如何利用invokeassembly.dll执行任意DotNet程序。通过ExecuteAssemblyJob类,CobaltStrike将DotNet程序和参数作为参数传递,利用Hosting CLR技术加载运行。与RDI不同,DotNet执行无需处理管道内容,所有处理由beacon和invokeassembly完成。

这是[信安成长计划]的第 14 篇文章

0x00 目录

0x01 DotNet功能分析

0x02 DotNet功能执行

0x03 写在最后

在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet

0x01 DotNet功能分析

CobaltStrike 提供了一种可以执行任意 DotNet 程序的方案,使用了名叫 invokeassembly 的 DLL,来加载和执行所传递的 DotNet 功能,提供这个方法的 Job 是 ExecuteAssemblyJob,它跟 RDI 不一样,它继承自 JobSimple 类

图片

与 RDI 一样,它也有一些必须要处理的方法

图片

在实际执行的时候,它会直接来运行 ExecuteAssemblyJob 的 spawn 方法

图片

首先它会获取到 invokeassembly.dll,然后获取到它的 ReflectiveLoader 函数,接着就开始了任务的构建

最低0.47元/天 解锁文章
Cobalt Strike (CS) 逆向初探
悦分享
08-03 937
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(1)CS 登陆通信流程分析
SecSource_Stars的博客
01-10 569
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike逆向学习系列(13)RDI 任务执行流程分析
SecSource_Stars的博客
02-20 2144
这是[信安成长计划]的第 13 篇文章 0x00 目录 0x01 任务号 0x02 功能执行 0x03 结果接收 在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析 0x01 任务号 按照上一次流程的分析,RDI 在构建的时候实际发布了两个任务,一个是 HashDump 的任务号,还有一个是通过 getJobType 获取到的 根据上一篇文章的流程 HashDump 所调用的任务
cobaltstrike4.0原版.zip
04-29
cobaltstrike4.0原版仅供学习使用,请勿用于非法活动
基于Cheat Engine的CS游戏逆向分析说明文档
qq_62016430的博客
04-10 992
另外,我还发现子弹并不是无限多的(数值的显示上,勾选激活仍为无限子弹)。在不勾选激活的情况下,最大值为128(27),若超过128,初始值则会变小,若设置为更大的数,还会出现子弹初始值较小,然后越打越多到128再开始减小的情况。另外,通过实验发现,CS的子弹数的数值类型应该为Byte,因为最大值为128,设置为更大的值会导致数值减小,再更大数值又会增加。7、回到游戏,我们可以看到子弹数量变成了20,然后点击射击变成了18,说明保存手枪子弹数的地址在选中的部分,则删除后面选中部分的地址。设置128为128。
CobaltStrike逆向学习系列(15)CS功能分析-BOF
SecSource_Stars的博客
02-22 985
这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDIDotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF功能分析CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个 它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好 在实际调用的时候,
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
s2i-dotnetcore-ex:OpenShift s2i-dotnetcore构建器映像的示例应用程序
05-15
用于OpenShift的.NET Core示例应用程序 ...$ oc new-app dotnet:5.0-ubi8~https://github.com/redhat-developer/s2i-dotnetcore-ex#dotnet-5.0 --context-dir app # Make the .NET Core application accessi
mcr.microsoft.com/dotnet/core/aspnet:3.1-buster-slim
08-24
.Net Core 3.1 项目Docker 容器化必须的依赖镜像 同时附上百度网盘下载地址 链接:https://pan.baidu.com/s/1K4GZJ_MzG_n6wAsKl4DFEQ 提取码:b30i
逆向CS1.6笔记(简单汇编)
u012765410的博客
02-16 1728
1 1.CE搜索30子弹。 用于将一个数据从源地址传送到目标地址 2.开几枪再次搜索 3.筛选出子弹的动态地址,锁定该地址数值,即实现无限子弹(这是个动态地址,游戏重新加载,该地址就失效了,如果不想每次都找就要找到真正的人物基址和偏移) 用于将一个数据从源地址传送到目标地址 4.查看谁访问了该地址 5.开几枪,mov指令是用于将一个数据从源地址传送到目标地址,也就是把EAX 里面的数值赋值给E...
CS客户端源码
02-13
这个是CS的客户端的源码,是高手逆向出来的源码。 大概就是这样子。
CobaltStrike逆向学习系列(12)RDI 任务发布流程分析
SecSource_Stars的博客
02-20 446
这是[信安成长计划]的第 12 篇文章 0x00 目录 0x01 任务构建 0x02 结果处理 0x03 功能 DLL 分析 之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析 0x01 任务构建 CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令 这两种方式在执行前都会去判断当前用户的权限
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3823
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
浅谈CobaltStrike UDRL的实现与混淆
xf555er的博客
11-09 1851
在Profile配置中,Stage块的某些选项允许用户修改明显的PE文件特征,比如magic_mz,它允许用户自定义4个字节的MZ头,但是当UDRL应用后此功能将不再支持,不过我们可以使用Aggressor脚本去实现此功能,甚至比magic_mz功能更加强大首先在UDRL中,我们先自定义PE Header结构,在此结构中,我们仅存放PE头结构和节表结构等有效信息。在aggressor脚本中,为了对接上述我们自定义的PE Header,我们可以使用pedump。
cobaltstrike之execute-assembly内存加载—后渗透利用
最新发布
bring_coco的博客
09-24 1050
通过execute-assembly内存加载来执行文件,从而避免后渗透中被杀毒软件静态报毒,使更多的工具能够继续利用,常见的方式有权限维持,代理上线等操作。
CS学习笔记】10、如何管理Payload载荷
TeamsSix 的 优快云 空间
06-27 1078
0x00 前言 到目前为止,已经学过了如何在有漏洞的目标上获取立足点的方法,接下来将继续学习后渗透相关的知识,这一节就来学习学习 beacon 的管理、会话传递等。 0x01 Beacon 的管理 Beacon 控制台 在一个 Beacon 会话上右击 interact(交互)即可打开 Beacon 控制台,如果想对多个会话进行控制,也只需选中多个会话,执行相关功能即可。 在 Beacon 的控制台中的输入与输出之间,是一个状态栏,状态栏上的信息分别是:目标 NetBIOS 名称、用户名、会话PID以及
渗透测试神器CS(4.0)的使用
热门推荐
世间繁华梦一出
12-27 2万+
CSCS简介 CS简介 Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。 ...
[系统安全] 三十.CS逆向分析 (1)你的游戏子弹用完了吗?Cheat Engine工具入门普及
杨秀璋的专栏
04-19 8892
前文分享了外部威胁防护和勒索病毒对抗,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。这篇文章将回到逆向知识,利用Cheat Engine工具逆向分析游戏CS1.6,并实现无限子弹功能。基础性文章,希望对您有所帮助,如果存在错误、侵权或不足之处,还望告知,加油!
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 5080
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值