CobaltStrike逆向学习系列(1):CS 登陆通信流程分析

最新推荐文章于 2024-02-23 08:00:47 发布
最新推荐文章于 2024-02-23 08:00:47 发布
阅读量395 收藏 1
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 系统安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecSource_Stars/article/details/122418409
版权

这是[信安成长计划]的第 1 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 密码校验

0x02 aggressor.authenticate

0x03 aggressor.metadata

0x04 数据同步

0x05 流程图

0x06 参考文章

先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登陆 TeamServer 的流程分析。

由于水平有限,对于数据同步并没有理解的足够清楚,望各位斧正。

0x01 密码校验

启动 TeamServer 后,会创建 SecureServerSocket 对象并且循环调用 acceptAndAuthenticate 方法等待 Controller 连接

图片

在接收到信息并验证成功以后,才会去调用 clientAuthenticated 方法来线程执行 ManageUser 以处理与 Controller 的信息

图片

当 Controller 在点击 Connect 按钮时,会调用 Connect 中的 dialogAction 方法,会先创建 SecureSocket 对象,并调用 authenticate 方法进行验证

图片

在创建 SecureSocket 对象时,会与 TeamServer 进行握手等操作,TeamServer 会进入 SecureServerSocket.this.authenticate 方法进行验证,此时会一直在 var4.readInt() 阻塞,直到 Controller 将信息发完

图片

接着来看 Controller 的处理,在 authenticate 中,进行了数据包的构造,先写入一个标志 48879(int),接着是密码的长度(byte)

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cobalt Strike (CS) 逆向初探
悦分享
08-03 656
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 733
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
SecSource_Stars的博客
01-10 612
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
逆向分析Cobalt Strike安装后门
最新发布
pandazhengzheng的博客
02-23 1225
逆向分析Cobalt Strike安装后门
【网络编程】C/S模型通信过程 — — TCP
Intrepid_Chaser的博客
04-07 891
TCP的11种状态 11种状态:LISTEN、SYN_SENT、SYN_RCVD、ESTABLISHED、CLOSING、FIN_WAIT_1、CLOSE_WAIT、FIN_WAIT_2、LAST_ACK、TIME_WAIT、CLOSED 过程:CLOSEED->LISTEN->SYN_SENT->SYN_RCVD->ESTABLISHED->…->FIN_WAIT_1->CLOSE_WAIT->FIN_WAIT_2->LAST_ACK->TIME
CobaltStrike逆向学习系列(14):CS功能分析-DotNet
SecSource_Stars的博客
02-20 1768
这是[信安成长计划]的第 14 篇文章 0x00 目录 0x01 DotNet功能分析 0x02 DotNet功能执行 0x03 写在最后 在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet 0x01 DotNet功能分析 CobaltStrike 提供了一种可以执行任意 DotNet 程序的方案,使用了名叫 invokeassembly 的 DLL,来加载和执行所传递的 DotNet 功能,提供这个方法的 Job 是 ExecuteA
CobaltStrike逆向学习系列(13):RDI 任务执行流程分析
SecSource_Stars的博客
02-20 1935
这是[信安成长计划]的第 13 篇文章 0x00 目录 0x01 任务号 0x02 功能执行 0x03 结果接收 在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析 0x01 任务号 按照上一次流程分析,RDI 在构建的时候实际发布了两个任务,一个是 HashDump 的任务号,还有一个是通过 getJobType 获取到的 根据上一篇文章的流程 HashDump 所调用的任务
CobaltStrike逆向学习系列-主线篇
02-22
通过逆向的方式分析 CobaltStrike,包含 bypass、检测 等内容,是深入了解和二次开发,非常好的参考资料
软件逆向分析系列教程课件
01-07
该文件是《软件逆向分析系列教程》系列课程源代码课件,下载后解压即可得到文件。
geacon:练习Go编程并在Go中实现CobaltStrike的Beacon
03-21
盖康使用Go来实现CobaltStrike的信标该项目仅用于学习协议分析逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件....
ReGameDLL_CS:逆向工程的 gamedll (CS 1.6 CZero)
08-04
ReGameDLL_CS 逆向工程 gamedll (mp.dll / Counter-Strike)这是什么? Regamedll_CS 是原始库 mod HLDS(构建 6153beta)使用嵌入到 HLDS linux 版本 cs.so 中的 DWARF 调试信息逆向工程的结果项目目标提供更稳定...
金盾2016-2017逆向分析系列教程
07-23
教程名称:金盾2016-2017逆向分析系列教程  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
SecSource_Stars的博客
01-10 318
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 619
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
渗透测试实战-CS工具使用
10-02 3201
使用Cobalt Strike工具做渗透测试,本文包含搭建CS服务器,通过生成克隆钓鱼网站和生成木马进行后渗透,熟悉使用CS工具和理解测试原理。
Cobalt Strike通信过程 & 协议
shawdow_bug的博客
10-29 2439
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
请对以下自行编写的代码做软件逆向工程分析
06-08
要进行逆向工程分析,我们可以使用反汇编程序来查看代码的底层机器指令。此外,我们可以使用调试器来查看程序执行的过程和变量的值。在此过程中,我们可能会发现以下信息: - 程序使用了Python的随机数生成器模块。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值