上线流程分析
心跳包 :采用的是rsa加密,rsa公私钥文件名称为 .cobaltstrike.beacon_keys
beacon任务:采用的是aes加解密 aes 默认IV是 abcdefghijklmnop,对自定义的iv_bytes进行hash 然后取出
aes key和hmac key 。hmac用来消息防篡改
公钥加密元数据包
首先解析公钥
enpack = rsa.encrypt(pack, pubkey)
通信加解密
def encrypt(data, iv_bytes, shared_key):
data=pad(data,16,style='pkcs7')
cypher = AES.new(shared_key, AES.MO