CobaltStrike逆向学习系列(7):Controller 任务发布流程分析

最新推荐文章于 2024-07-17 16:14:05 发布
最新推荐文章于 2024-07-17 16:14:05 发布
阅读量271 收藏
点赞数
分类专栏: 信息安全 文章标签: 系统安全 web安全 安全 安全架构
原文链接:https://blog.csdn.net/SecSource_Stars/article/details/122492309
版权

这是[信安成长计划]的第 7 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述
0x00 目录

0x01 Controller->TeamServer

0x02 TeamServer->Beacon

0x03 流程图

所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例

0x01 Controller->TeamServer

当在 Console 中输入命令回车后,会进入 BeaconConsole 进行处理

图片

专门来处理 shell 命令,命令解析 popString 所返回的就是要执行的命令 whoami

图片

接着会在 TaskBeacon 中处理执行逻辑,因为只有一个 Beacon 就直接跟入了

图片

然后就是构造任务了,将信息处理后用于 Beacon 去解析执行

图片

之后会先打印执行日志,然后才是真正的传递了

图片

日志记录也是一样通过 TeamQueue 传给 TeamServer

图片

TeamServer 在 ManageUser 中接到日志

图片

在处理以后直接添加广播将信息发送出去

图片

然后通过 BroadcastWriter 写回给 Controller

图片

接着 Controller 将任务发送给 TeamServer

图片

TeamServer 在接到以后同样走对应的处理逻辑

图片

从两个参数中取出 BeaconId 和任务,然后进入 BeaconData 处理逻辑

图片

这里的有用代码也就是 else 中的 add 了,上面的判断是 CS 的一个暗桩,运行三十分钟后再执行命令就会直接发布退出任务

图片

在将任务添加到 List 以后,也会将 BeaconId 记录下来

图片

到这里任务的发布就完成了

0x02 TeamServer->Beacon

在 Beacon 回心跳包的时候,会来请求任务

图片

直接从任务队列中取出数据

图片

然后循环添加,并将添加过的移除,如果任务大于指定大小的话就会跳出循环

图片

最后将任务队列返回

图片

之后再相应的将其他的内容取出

图片

最后构造并返回,这里会进行打印日志的操作,输出发送了的命令的长度

图片

在返回之后会对数据进行加密

图片

首先会根据 BeaconId 取出对应的 AESKey 和 HmacSHA256Key

图片

之后写入系统时间/1000,任务长度,任务数据,并对其进行补齐,添加 A,补够 16 的整数倍

图片

然后进行 AES 加密

图片

接着对数据进行 Hmac

图片

之后将 AES 加密后的任务写入,并将 Hmac 的前 16 位拼接到后面

图片

之后便返回给 Beacon 了

图片

0x03 流程图

图片

Vesel『无心』
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 741
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 624
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
Cobalt Strike的使用
浅笑996的博客
11-15 1万+
0x00  Cobalt Strike简介       Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。而Cobalt...
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 424
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller
CobaltStrike逆向学习系列(12):RDI 任务发布流程分析
SecSource_Stars的博客
02-20 295
这是[信安成长计划]的第 12 篇文章 0x00 目录 0x01 任务构建 0x02 结果处理 0x03 功能 DLL 分析 之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析 0x01 任务构建 CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令 这两种方式在执行前都会去判断当前用户的权限
CobaltStrike逆向学习系列-主线篇
02-22
7. **Controller任务发布流程分析** - **Controller到TeamServer**:详细阐述任务Controller到TeamServer的传递过程。 - **TeamServer到Beacon**:任务如何被TeamServer接收并转发给Beacon执行。 8. **Beacon...
软件逆向分析系列教程课件
01-07
该文件是《软件逆向分析系列教程》系列课程源代码课件,下载后解压即可得到文件。
geacon:练习Go编程并在Go中实现CobaltStrike的Beacon
03-21
盖康使用Go来实现CobaltStrike的信标该项目仅用于学习协议分析逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件....
金盾2016-2017逆向分析系列教程
07-23
教程名称:金盾2016-2017逆向分析系列教程  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
逆向分析学习路线.pdf
04-13
逆向分析学习路线.pdf
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
SecSource_Stars的博客
01-10 324
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
SecSource_Stars的博客
01-10 620
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
无心的博客
01-14 646
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
最新发布
FreeBuf_的博客
07-17 1131
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
WAF基础介绍
weixin_68864415的博客
07-13 1074
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 553
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值