CobaltStrike逆向学习系列(3):Beacon C2Profile 解析

最新推荐文章于 2022-11-22 09:04:06 发布
最新推荐文章于 2022-11-22 09:04:06 发布
阅读量620 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 系统安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecSource_Stars/article/details/122419636
版权

这是[信安成长计划]的第 3 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Controller 端分析

0x02 Beacon 端分析

0x03 展示图

在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。

而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实现原理,才能真正明白检测原理和绕过方法。

0x01 Controller 端分析

直接跟到 beacon/BeaconPayload.java,看 exportBeaconStage 方法

对于前面值的获取暂时不管,直接看重点,是如何添加的,因为最后是直接把 settings 转 byte 数组,然后混淆后 Patch 的,所以就重点看一下 settings 都干了什么事

图片

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 403
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
网络安全进阶篇之流量加密(十三章-3)CS生成ssl证书修改c2 profile 加密流量逃逸检测
划水的小白白
05-19 3457
文章目录零、为什么要对CS进行流量加密一、 生成免费的 ssl 证书二、 创建并修改 C2-profile 文件三、 检测 C2 profile 文件是否可用四、 配置 teamserver 文件运行上线五、 抓取流量 零、为什么要对CS进行流量加密 cobalt strike 是很多红队的首选的攻击神器,在 APT 方面近几年应用范围很广, 很多著名的团队都曾使用这个工具进行 APT,效果显著。 导致很多 ids 入侵检测工具和流量检测工具已经可以拦截和发现, 特别是流量方面,如果使用默认证书进行渗
CobaltSrtike Malleable C2 Profile编写
qq_45434762的博客
06-17 1894
什么是 Malleable C2 ProfileMalleable C2 Profile是一个可以控制CobaltStrike流量特征的文件,可以通过修改配置文件来改变流量特征,从而躲避各...
cobalt strike生成证书修改C2 profile流量加密混淆
干铮的博客
03-15 3900
C2 profile流量加密混淆 生成证书修改C2 profile加密混淆实际上就是对流量加密传输,目的是为了逃逸安全审计,穿透检测器。 生成免费的ssl证书 在运行cobalt strike 默认使用的cobaltstrike store证书,生成新证书的意义是将使用我们现在的制定好的证书。默认的证书cobalt strike会被检测。 keytool -genkey -alias wkk -keyalg RSA -validity 36500 -keystore wkk.store wk
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 630
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
c2profilejs:用于为Cobalt Strike创建C2配置文件的Web UI
05-14
C2配置文件JS :construction: :construction:正在施工:construction: :construction: 我正在更新UI的外观,因此一些组件未设置样式,但是所有功能仍然存在。 关于 C2 Profile JS是一个Web应用程序,旨在简化植入工具的C2配置文件的生成。 C2配置文件并不太复杂,但是当红色团队需要即时适应BLUEFOR时,时间是至关重要的因素。 C2配置文件JS可以缩短C2配置文件的周转时间,并减少出错的机会。 依存关系 发展 Nodejs的 Java 生产 码头工人 如何 最好通过docker容器hattmo / c2profilejs使用C2配置文件。 docker run --rm -d -p 3000:80 --name c2profilejs hattmo/c2profilejs:latest 然后导航到开始使用该工具。 可以使用以下命令从源代码构建和运行C2 Profile JS npm install npm run
Cobalt Strike生成证书,修改C2 profile流量加密混淆
m0_50526465的博客
05-06 3607
Cobalt Strike生成证书,修改C2 profile流量加密混淆 Cobalt Strike就不多介绍了,懂得都懂 本次实验环境 kali Cobalt Strike 4.1 生成免费的SSL证书 Cobalt Strike默认使用的cobaltStrike.store证书,默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现 keytool工具介绍 Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore
手把手教你如何隐藏C2
Ms08067安全实验室
05-19 1183
文章来源|MS08067 公众号读者投稿本文作者:下次一定(白嫖知识星球活动)CDN技术隐藏C2原理让cdn转发合法的http或者https流量来达到隐藏的目的。这些文章写的很详细,总结一...
random_c2_profile:Cobalt Strike随机C2配置文件生成器
04-06
随机C2配置文件生成器 Cobalt Strike随机C2配置文件生成器 作者:Joe Vest(@joevest) 该项目旨在基于上的参考配置文件生成可延展的c2配置文件。 !! 这不是故意要生产的 !! 生成的配置文件旨在用于测试变化 !! 参考资料的。 概述 该项目旨在快速生成randome c2配置文件。 它基本上是一个带有随机变量的Jinja模板。 认为这是上的参考资料的随机版本。 还有其他一些C2配置文件生成器可能更适合生产,例如 使用前应注意的重点 暂存默认情况下处于禁用状态 这确实利用了参考配置文件中的其他良好实践,但是增加了随机性(这就是创建项目的原因) 不使用配置文件变体(请参阅配置文件变体-https: ) URI和DNS主机不要花哨,它们是使用单词列表中的随机单词构建的。 设置在整个教授中是一致的。 每个只是随机的。 设置 这是使用python3设计
Cobalt Strike malleable C2的使用(子篇7)
最新发布
yyj1781572的博客
11-22 435
Cobalt Strike malleable C2的使用
cobalt strike profile
m0_59119089的博客
12-27 1384
cobalt strike profile 说明
beacon.dll样本的ReflectiveLoader(x)函数
yellow的博客
02-08 1502
上次文章中shellcode解密出的pe文件,拖到PEView中又看了一遍,发现有导出表,只导出了一个函数,名字就叫_ReflectiveLoader@4,不是ida神奇,而是作者就是这样写的,这个样本的名字也应该叫做beacon.dll。如图: 至于为什么按Ctrl+E,除了入口点函数和tls回调函数,导出函数也会显示?ida就是这么认为的,它认为导出函数也是入口点, 不信的话找到一个系...
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1186
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
【渗透测试】CS DNS上线(DoH隧道+CS特征隐藏)
SunnyCat
02-16 6006
目录一、准备工作二、域名设置三、CS上线(DoH)四、流量分析 一、准备工作 1)域名 2)vps(53端口) 3)Cobalt Strike 4.3 二、域名设置 1)获得免费域名 https://www.freenom.com/ 选择域名–>注册邮箱–>登录邮箱完成域名获取 2)自定义域名的dns服务提供商(dns服务器) 这里可以在freenom网站上登录之前创建的账号,点击services–My Domians Management Tools–>nemeservers–>
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值