CobaltStrike逆向学习系列(4):Beacon 上线协议分析

最新推荐文章于 2024-04-05 16:48:11 发布
VIP文章 最新推荐文章于 2024-04-05 16:48:11 发布
阅读量315 收藏
点赞数 1
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 系统安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecSource_Stars/article/details/122420814
版权

这是[信安成长计划]的第 4 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Beacon 发送

0x02 TeamServer 处理

0x03 流程图

0x04 参考文章

在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。

因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。

0x01 Beacon 发送

通过导入表能够很明显的看到通信相关的函数,所以就直接在关键函数上下断

图片

首先调用 InternetOpenA 传入了 agent

图片

接着是 InternetConnectA 传入 IP 与端口

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CobaltStrike(beacon.dll)样本赏析
yellow的博客
02-08 1993
CobaltStrike样本特点赏析
CobaltStrike(beacon.dll)功能赏析
yellow的博客
10-18 647
老版本CobaltStrike(beacon.dll)功能分析
杂项:蓝牙beacon简述
遇雪长安的博客
08-16 4053
蓝牙beacon
BLE协议Beacon信标广播
最新发布
起风的博客
04-05 660
基于BLE广播的功能的协议。蓝牙Beacon并不是蓝牙技术联盟所指定的标准,因此也被称为“虚拟标准”,是由大型供货商或企业集团为首,针对广泛的Beacon应用所正式提出的蓝牙应用规范,比如苹果公司的iBeacon协议,谷歌公司的Eddystone协议。:这两个值用于识别一组iBeacons中的特定的Beacon,以进一步细分UUID下的区域或使用场景。:用于广告推送,比如商场内,当用户走进商场时打开商城APP,即可看到实时的商城活动等。:应用特定的唯一标识符,用于区分不同的iBeacon部署。
内网渗透神器CobaltStrikeBeacon详解(三)
xf555er的博客
11-19 1316
这两个beacon的原理是通过发送http请求与受害主机通信来传达命令, 以此实现控制效果优点是传输数据快, 缺点时隐蔽性差, 容易被防火墙或内网审计工具拦截。
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobalt Strike 的通信过程 & 协议
shawdow_bug的博客
10-29 2393
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
beacon.dll样本的ReflectiveLoader(x)函数
yellow的博客
02-08 1479
上次文章中shellcode解密出的pe文件,拖到PEView中又看了一遍,发现有导出表,只导出了一个函数,名字就叫_ReflectiveLoader@4,不是ida神奇,而是作者就是这样写的,这个样本的名字也应该叫做beacon.dll。如图: 至于为什么按Ctrl+E,除了入口点函数和tls回调函数,导出函数也会显示?ida就是这么认为的,它认为导出函数也是入口点, 不信的话找到一个系...
【Wi-Fi 802.11协议】管理帧 之 Beacon帧详解
ASKLW的博客
12-26 7173
Beacon帧简介 信标帧,由AP以一定的时间间隔周期性发出,以此来告诉外界自己无线网络的存在。 Beacon帧组成 下图为Beacon帧的组成 下图为抓包所得(AP为2.4g 11n模式),Packet Info为抓包软件自己添加的字段,可以看到一些基本信息,这里不做分析。...
Beacon应用浅析
weixin_44445770的博客
05-26 1609
Beacon即蓝牙信标。这是建立在低功耗蓝牙协议基础上的一种广播协议,同时它也是拥有这个协议的一款低功耗蓝牙设备(从机),兼容苹果ibeacon协议
beacon:端到端加密网状网络信使-Hack Cambridge 2021的获胜者
05-26
信标 灵感 在紧急情况和自然灾害期间,互联网和电话连接经常会丢失,使人们无法联系亲人或寻求帮助。 我们的目标是开发一个消息传递应用程序,即使在互联网连接完全中断的情况下,您也可以通过该消息传递给亲人,并向附近的人广播帮助请求(例如紧急服务)。 由于其分散,加密的性质,它也是一种保护隐私并允许在互联网受到严格限制或监视的国家进行通信的工具。 它能做什么 信标(Beacon)是具有零服务器的功能完善的消息传递应用程序,该应用程序: 即使设置也不需要互联网连接 通过蓝牙建立自己的附近设备的网状网络,并通过该网络路由消息进行通信 使您可以向网络中的任何人发送消息,即使他们不在附近 使用端到端加密对邮件进行加密 允许您向附近的所有人广播消息以寻求帮助 允许您发送位置。 这在灾难情况下特别有用。 允许您发送照片(不稳定,并且非常有限) 我们是如何建造的 我们使用蓝牙和超声波来检测运行Bea
CobaltStrike(beacon.dll)样本.zip
10-18
老版本的CobaltStrike样本,C2已经失去活性。
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
盖康使用Go来实现CobaltStrike的信标该项目仅用于学习协议分析逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件....
Cobalt_Strike_beacon免杀上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
AggressorScripts:用于 Cobalt Strike 3.0+ 的 Aggressor 脚本
05-29
3.0+ 的 Aggressor 脚本apache-style-weblog-output.cna - 将博客点击输出到 Cobalt Strike 工作目录中名为 weblog.log 的类似 Apache 的访问日志文件beacon_to_empire.cna - 利用RESTful API 从 Cobalt Strike 上的...
Awesome-CobaltStrike-Defence:防钴打击
03-08
超棒的钴防卫 防钴打击 Cobalt Strike是一款功能齐全的商业化渗透测试工具,称其为“旨在执行有针对性的攻击并模仿高级威胁参与者的... 检测CobaltStrike的波动性 JARM指纹扫描仪 钴打击法医 Cobalt Strike资源 C
Cobalt-Strike-4.7
12-27
服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形...
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1620
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后
cobaltstrike 有几种上线方式
05-17
Cobalt Strike 有三种上线方式: 1. Beacon线Beacon 是 Cobalt Strike 的主要上线方式。它使用域前置技术来隐藏流量,并可以在被动模式下运行,以免被检测到。Beacon 还支持多种通信通道,如 HTTP、DNS 和 SMB 等。 2. ExternalC2 上线:ExternalC2 是 Cobalt Strike 的新型上线方式,它可以使用第三方 C2 服务器来进行通信,这样可以避免受到防御者对 Cobalt Strike C2 服务器的监视和封锁。 3. PoshC2 上线:PoshC2 是 Cobalt Strike 的 PowerShell 版本,使用 PowerShell 脚本来进行通信。这种方式可以避免使用 Cobalt Strike 的二进制文件,从而避免被杀软检测到。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值