前言
不知道你有没有遇到过马上线却不能操作的情况,我猜当你网络卡或马写得不好时会出现这个问题
但是人为的你可能没遇到过,首先要欺骗你的远控,得分析你的协议,如果你的马根本不是公开的
网络又是好的,你刚往人家机器里种马,发现马只能上线不能操作,绝对是马有问题,不能甩锅我
人家都不知道你的马的通信原理,流量特征,不可能事先准备好一个程序,让你一发就欺骗你的马
本文主要研究CS这个APT很喜欢用的马,当然TCP的也一样原理,只要构造对应的数据包就可欺骗
远控术语
Cobalt Strike采用的是B/S架构,也就是常说的HTTP协议(HTTPS加密的http,记住都是WEB就不会错了)
Client:客户是上帝,我们想买什么告诉服务员。就是控制端,即通过它来控制对方电脑。不叫服务端哦
Server:服务员,即服务端。以前常说的肉鸡,这个叫被控端不是控制端,叫做什么就做什么不就是服务?
中转:放在VPS,好比现在的快递,可有可无,买家直接见卖家就不需要。CS中转Teamserve就是一个WEB
就是说如果你用IIS或Tomcat搭建的ASP、JSP、PHP、.NET等网站也可以做为中转,即可实现HTTP远控
如果CS不搞客户端,我们便可直接在浏览器上操作和控制目标机器,这就是08年这类码称为B/S架构的原因
CS的客户端就像我们用PY或其它语言实现模拟WEB登陆网站来操作一样,中转是WEB,那么肉鸡上线,它也
一样是HTTP请求来实现,WEB发包、POST提交不管怎么表达都可以,这是渗透基础,即是CS通信采用HTTP
C/S架构:Clinet/Server,主要指的是TCP,客户端和服务端,即便带个中转它也还是叫CS架构
B/S架构: Browser/Server,主要是HTTP,无论直接通过浏览器操作,还是像CS加个中转再用客户端访问
RAT:Remote Admin Tools,远程管理工具,长期以来国内外通用叫法。
C2: 老外的新名词,command&co
最低0.47元/天 解锁文章
222
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
