探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板

最新推荐文章于 2024-08-28 08:45:45 发布
原创 最新推荐文章于 2024-08-28 08:45:45 发布 · 574 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板

去发现同类优质开源项目:https://gitcode.com/

在网络安全领域,Cobalt Strike的Beacon Object Files(BOFs)是一个强大的工具,它让扩展Beacon功能变得更加简便且安全。BOFs是COFF对象文件,可在与Beacon相同的进程中执行,避免了使用可能暴露操作安全性的fork&run技术。这个开源项目提供了一个Visual Studio模板,旨在简化BOF开发流程,提高效率,并增强生产环境中的错误处理。

项目介绍

Cobalt Strike Beacon Object File模板 是为开发人员准备的一个起点,特别适合那些希望在Visual Studio环境中编写和调试BOFs的人。这个模板提供了默认的调试和发布配置,一个自定义的BOF构建过程,预先定义的函数列表,以及内置的错误报告机制,使得C或C++编码更为直观且无后顾之忧。

项目技术分析

模板的核心特性包括:

  1. 构建配置 - 提供预设的调试和发布模式,方便测试内存泄漏和其他问题。
  2. BOF构建 - 自动化生成、剥离调试符号并移动到输出目录的步骤。
  3. 函数定义 - 预先定义的函数集可直接用于代码中,减少动态函数解析的繁琐工作。
  4. 错误报告 - 在生产环境中,当BOF出错时,会打印出引发错误的行数和函数名。
  5. C++支持 - 支持简单的C++代码,避免名称混淆的问题。

项目及技术应用场景

这个模板适用于多种场景:

  • 渗透测试 - 利用BOFs快速构建自定义功能,如AppLocker策略枚举或计划任务持久化。
  • 安全研究 - 快速实验和验证新发现的安全漏洞。
  • 应急响应 - 对目标系统进行深度监控,无需频繁重启进程。

项目特点

  1. 即插即用 - 只需复制main代码到go函数,即可实现无参数BOF,对于带参数的BOF也只需轻微调整。
  2. 一键构建 - 通过批量构建功能,一次性生成x64和x86两种架构的BOF。
  3. 易错排查 - 错误信息详细,包括错误发生的函数、行号和描述,方便快速定位问题。
  4. 兼容性 - 支持C++编程,自动处理名称编译问题,但请注意,Cobalt Strike本身可能不完全支持C++特性。

使用说明

你可以从项目release页面下载ZIP文件,将其导入Visual Studio的项目模板目录,然后在新建项目界面搜索"beacon"找到该模板。项目结构清晰,源代码和资源文件组织有序,便于理解和修改。

开发者社区与贡献

该项目作者感谢TrustedSec团队、Paul(@am0nsec)、Matthew(@mattifestation)等人的贡献,并欢迎所有用户提出改进建议,提交pull request,共同打造更完善的BOF开发环境。

在你的安全之旅中,Cobalt Strike Beacon Object File模板将是你不可或缺的工具箱,助你在复杂的安全环境中轻松应对挑战,有效提升工作效率。现在就开始你的探索吧!

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Cyberchef实战之-Cobalt Strike beacon 还原揭秘
村中少年的专栏
07-27 762
通过cyberchef分析一段使用了base64,压缩,xor,charcode等多种方式的Cobalt Strike beacon样本,为护网HVV,重保互动,日常网络安全运营分析,提供参考思路
CobaltStirke BOF技术剖析(一)|BOF实现源码级分析
发果叁
08-04 947
BOF(Beacon ObjectFile)的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部BeaconAPI调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。
一个Cobalt Strike信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定已加载模块或进程句柄的进程。-C/C++开发
05-27
一个Cobalt Strike信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定已加载模块或进程句柄的进程。 FindObjects-BOF一个钴打击信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定模块或进程句柄的进程。 这个仓库是做什么用的? 在信标对象文件中使用直接系统调用来枚举特定已加载模块(例如winhttp.dll,amsi.dll或clr.dll)的进程。 在信标对象文件中使用直接系统调用来枚举特定进程句柄的进程(例如lsass.exe)。 避免使用Windows和本机API
CobaltStrike逆向学习系列(15):CS功能分析-BOF
SecSource_Stars的博客
02-22 915
这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF功能分析 在 CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个 它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好 在实际调用的时候,
探秘DLL刷新利器:Beacon Object File的奇妙之旅
最新发布
gitblog_00492的博客
08-28 420
探秘DLL刷新利器:Beacon Object File的奇妙之旅 unhook-bofRemove API hooks from a Beacon process.项目地址:https://gitcode.com/gh_mirrors/un/unhook-bof安全研究和技术探索的前沿,一款巧妙的工具正等待着那些勇于突破传统安全框架的研究者——一个专门设计用于刷新DLL并移除其挂钩的Bea...
内网渗透神器CobaltStrikeBOF编写(十一)
xf555er的博客
08-21 2131
Beacon Object File(BOF)Cobalt Strike4.1开始所添加的新功能,它允许你使用C语言编写扩展来扩展Beacon的功能。这些扩展可以在运行时直接加载到Beacon的内存中并执行,无需在目标机器的磁盘上创建任何文件BOF的一个关键特性是它的运行时环境非常有限。它不能直接调用Windows API,而只能通过Cobalt Strike提供的一组函数来与操作系统进行交互。这样做的原因是为了防止BOF在运行时出错导致Beacon崩溃。
cobaltstrike:cobaltstrike插件
05-06
cobaltstrike 现在完成的功能 1.定位域管理员(PsLoggedo,PVEFindADUser,netview) 2.信息收集(采用ADfind) 3.权限维持(增加了万能密码,以及白银票据) 4.内网扫描(nbtscan(linux/windows通用)) 5.dump数据库hash(支持...
cPlug:CobaltStrike插件可从Sifter内部启动和利用Cobalt Strike(本地或远程)
05-24
出口 s1l3nt78 死亡兔子集体因为枚举是关键 释放 @Codename: c @Version: .2 - Added functionality to start a team... -C -Sifter的c扩展只是一个小脚本,允许将CobaltStrike添加到利用框架中。 (将不会提供Co
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码,修改了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修改调试那个文件只需把该文件复制到src下即可。 这是魔改Cobaltstrike4.1系列的...
Cobalt-Strike-Aggressor-Scripts:Cobalt Strike Aggressor 插件包
05-02
Cobalt-Strike-Aggressor-Scripts 长时间未更新,说声抱歉 本脚本借鉴了许多大佬的思路以及源码,由于较为仓促未能贴出每个的url,在此表示感谢! Usage: Update 20200422 加入Info-Collect信息收集模块 加入chrome...
BOF:收集信标对象文件以与Cobalt Strike一起使用以促进:spiral_shell:
03-04
信标对象文件 姓名 句法 MiniDumpWriteDump minidumpwritedump <PID> <path_of_dmp?> MiniDumpWriteDump BOF(仅限64位) DbgHelp的MiniDumpWriteDump函数的自定义实现。 使用静态syscall来替换诸如NtReadVirtualMemory之类的低级函数。 使用@jthuraisamy的和@Outflanknl的生成的系统。 代码改编自ReactOS在上实现的MiniDumpWriteDump。
数量金额辅助明细账激光套打模板.bof
04-21
T+13.0打印辅助数量金额式账页,软件没有模板。进行自定义。
BOF-DLL-Inject:使用Cobalt Strike的信标目标文件实现手动Map DLL注入
04-14
BOF-DLL-注入 BOF DLL注入是一个自定义的,该使用手动映射DLL注入以便将dll全部从内存迁移到进程中。 好处 不太可能被签名 DLL有效负载保留在内存中,永不接触磁盘 附加功能易于实现 DLL未在内核领域注册为包括EPROCESS结构的模块 笔记 要了解我如何开发此工具以及有关该工具的更多信息,请参阅我的博客
探秘通用解钩子神器:Beacon Object File 的强大应用
gitblog_00056的博客
05-25 481
探秘通用解钩子神器:Beacon Object File 的强大应用 unhook-bofRemove API hooks from a Beacon process.项目地址:https://gitcode.com/gh_mirrors/un/unhook-bof 1、项目介绍 在网络安全和逆向工程的世中,Beacon Object File 用于刷新 DLL 和移除其钩子的工具是一把利器。...
CS BOF文件编写/改写
Love&Share
01-25 2133
Beacon Object File(BOF) cs 4.1后添加的新功能,
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3688
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
轻松学会cobalt strike插件开发
qq_37561898的博客
11-18 1017
的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部Beacon API调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。跟RDI一样关于BOF,CS也提供了相关的文档进行解释和开发介绍BOF C API。
探索Coffee:Rust实现的COFF加载器
gitblog_00084的博客
06-05 541
探索Coffee:Rust实现的COFF加载器 coffeeA COFF loader made in Rust项目地址:https://gitcode.com/gh_mirrors/coffe/coffee 项目介绍 Coffee是一款由Rust语言编写的自定义实现工具,它模仿了Cobalt Strikebeacon_inline_execute功能。这个项目不仅提供了一个命令行工具,还设计...
使用了非标准扩展: 不支持在此结构上使用“__asm”关键字_[翻译]CobaltStrike 使用Beacon Object Files(BOF)进行 Direct Syscalls...
weixin_36352432的博客
01-14 3080
原文链接:https://outflank.nl/blog/2020/12/26/direct-syscalls-in-beacon-object-files/ 原文作者:Cornelis de Plaa在这篇文章中,我们将探讨在Cobalt Strike使用BOF进行直接系统调用(direct system calls)。具体来说:1.说明如何在Cobalt Strike BOF中使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林泽炯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值