CobaltStrike逆向学习系列(12):RDI 任务发布流程分析

最新推荐文章于 2024-05-22 14:21:06 发布
VIP文章 最新推荐文章于 2024-05-22 14:21:06 发布
阅读量284 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecSource_Stars/article/details/123029914
版权

这是[信安成长计划]的第 12 篇文章

0x00 目录

0x01 任务构建

0x02 结果处理

0x03 功能 DLL 分析

之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析

0x01 任务构建

CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令

图片

这两种方式在执行前都会去判断当前用户的权限是否是管理员,如果是才会去执行,而这两种不同的触发方式所使用的检测权限也是在不同位置的

如果是在界面上点击的话,它会在 cna 脚本中直接进行判断

图片

如果通过命令的话,它会在 BeaconConsole 处理的时候直接来判断

图片

而判断方法就是直接判断用户名是否带星号,因为在初始化 BeaconEntry 的时候就已经进行了设置,如果是管理员的话࿰

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iRPGUnit:RDi 8.0+ 的 iRPGUnit 项目-开源
05-30
iRPGUnit 是 RDi 8.0+ 的开源插件。 该插件为 IBM i 上的 RPG 提供单元测试。 iRPGUnit 是 RPGUnit 项目的一个分支,提供增强功能和一个 Eclipse 插件,用于从 IBM Rational Developer for i 运行单元测试。 有关iRPGUnit的更多信息,请访问iRPGUnit网站。 iRPGUnit 库需要 V7R1 或更高版本。 对于较低版本,您可以手动从 i 项目编译库。 有关详细信息,请参阅 iRPGUnit 帮助页面。 注意:从 3.0 版开始 iRPGUnit 需要 IBM i OS 7.1! 此外,文件 RPGUNIT1 的源成员 TESTCASE 已被标记为已弃用,并将在 2019 年 12 月 31 日之后删除。 改用文件 QINCLUDE 的成员 TESTCASE。 在更新到 3.0 之前,请阅读 iRPGUnit 联机帮助中的升级信息。
CobaltStrike逆向学习系列(13):RDI 任务执行流程分析
SecSource_Stars的博客
02-20 1929
这是[信安成长计划]的第 13 篇文章 0x00 目录 0x01 任务号 0x02 功能执行 0x03 结果接收 在上一篇文章中已经讲明了 RDI 类型的任务发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析 0x01 任务号 按照上一次流程分析RDI 在构建的时候实际发布了两个任务,一个是 HashDump 的任务号,还有一个是通过 getJobType 获取到的 根据上一篇文章的流程 HashDump 所调用的任务
CobaltStrike逆向学习系列(14):CS功能分析-DotNet
SecSource_Stars的博客
02-20 1763
这是[信安成长计划]的第 14 篇文章 0x00 目录 0x01 DotNet功能分析 0x02 DotNet功能执行 0x03 写在最后 在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet 0x01 DotNet功能分析 CobaltStrike 提供了一种可以执行任意 DotNet 程序的方案,使用了名叫 invokeassembly 的 DLL,来加载和执行所传递的 DotNet 功能,提供这个方法的 Job 是 ExecuteA
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 2844
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
Cobaltstrike系列教程(十二)CS与MSF,Armitage,Empire会话互转
J0o1ey Blog
01-19 2636
0x001-Cobaltstrike与MSF会话互转 ①Metasploit派生shell给Cobaltstrike 首先,你需要拿到一个metepreter会话,本例中session为1 Cobaltstrike的teamserver的ip为8.8...
CobaltStrike之后渗透
Longwaer
02-12 1233
学习掌握CobaltStrike后渗透技术,更好的用于内网横向。
RDI: Runtime Dependencies Installer-开源
04-24
RDI是一个库,使您的应用程序能够在运行时安装其依赖项。 非常适合面向插件的体系结构。 多种类型的部门:RPM,DEB,.so,.dll,RubyGems ...可以轻松扩展为新的类型。
基于RDI的长江流域干旱时空变化分析
01-09
基于RDI的长江流域干旱时空变化分析,高冰,,本文采用干旱侦测指数(RDI),分析了1961-2012年间长江流域干旱主要特征的变化趋势。结果表明在研究时段内长江流域干旱历时呈增加趋
rdi:具有React能力的依赖注入库,由Reactor提供支持
03-11
RDI 具有React功能的Dependency Injection库,由Reactor提供支持。 什么是RDIRDI代表响应式依赖注入。 它是一个库,允许通过定义它们的依赖关系来管理应用程序中存在的bean,服务和任何类型的Java对象的实例化...
JCRCMDS:JCRCMDS.com 的 RDi/WDSCi 插件-开源
05-30
Craig Rutledge:http://www.jcrcmds.com/ RDi 8.0+ 更新站点:http://jcrcmds.sourceforge.net/eclipse/rdi8.0/ WDSC 7.0 更新站点:http://jcrcmds.sourceforge.net/ eclipse/wdsci7.0/ 存档的本地更新站点可以从...
FME学习之旅---day27
summer_corner的博客
05-17 230
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1190
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
引用实战学习
qiuzhiuser的博客
05-19 115
【代码】引用实战学习
学习kong官方文档
好好学习日记
05-17 298
当然,我会用更简洁的方式重新解释这两个概念:Helm和Kubectl是Kubernetes生态系统中常用的两个工具,它们各自有不同的用途:
C语言查漏补缺学习【精简版】
qq_49288362的博客
05-18 703
逗号的组合关系是自左向右,所以左边的表达式会先计算,而右边的表达式的值就留下来作为逗号运算的结果。枚举类型名字通常并不真的使用,要用的是在大括号里的名字,因为它们就是常量符合,它们的类型是int,值则一次从0到n。当要传递的参数的类型比地址大的时候,这是常用的手段:既能用比较少的字节数传递值给参数,又能避免函数对外面的变量的修改。当需要一些可以排列起来的常量值时,定义枚举的意义就是给了这些常量的值的名字。16.*:是一个单目运算符,用来访问指针的值所表示的地址上的变量。
DB类的学习
2301_77523055的博客
05-15 376
"不返回结果集" 意味着执行 SQL 语句后,你不会得到一个可以逐行读取的数据集。相反,你可能会得到一个表示受影响的行数的整数,或者只是一个表示命令是否成功执行的确认。
RustGUI学习(iced/iced_aw)之扩展小部件(十九):如何使用context_menu部件来创建右击菜单?
用沸腾的热血,支付我们的人生吧!
05-15 95
本专栏是学习Rust的GUI库iced的合集,将介绍iced涉及的各个小部件分别介绍,最后会汇总为一个总的程序。iced是RustGUI中比较强大的一个,目前处于发展中(即版本可能会改变),本专栏基于版本0.12.1.
llama-factory学习个人记录
最新发布
qq_55736201的博客
05-22 631
1.llama-factory部署在LLaMA-Factory项目中,单显卡可以用命令或训练,多显卡只能用用命令的方式。
Android OpenMAX(八)如何学习OMXNodeInstance
青山渺渺
05-15 244
OMXNodeInstance学习技巧
SDH故障处理:RDI、LOS、AIS
06-13
SDH故障处理中,RDI、LOS、AIS都是常见的故障状态: 1. RDI(Remote Defect Indication)远端告警指示:表示收到远端设备的告警信息,可能是远端设备出现了故障。处理方法是检查远端设备的状态,如果确认故障是出现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值