CobaltStrike逆向学习系列(8):Beacon 结果回传流程分析

最新推荐文章于 2024-07-19 17:26:37 发布
最新推荐文章于 2024-07-19 17:26:37 发布
阅读量292 收藏
点赞数
分类专栏: 信息安全 文章标签: 系统安全 web安全 安全 安全架构
原文链接:https://blog.csdn.net/SecSource_Stars/article/details/122577169
版权

这是[信安成长计划]的第 8 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Beacon 接收与处理

0x02 结果回传

Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller

0x01 Beacon 接收与处理

直接在通信相关函数上下断,HttpSendRequest 发送任务,InternetReadFile 接收任务

图片

跟出函数以后再根据其上下文分析,也就能推断出大致范围

图片

同理在回结果的时候也是一样,这样也就大致确定了整个处理逻辑的代码范围,在这之间进行任务接收、解密、执行、结果回传等

图片

0x02 结果回传

在 Beacon 回结果的时候依然是从 WebServer 接收,继续走了 MalleableHook 来调用到真正的处理函数

图片

最终会走到 POST 的处理流程当中

图片

接着会先读取前四个字节作为大小,然后申请内存,并将后续所有内容读入数组当中

图片

接下来就是解密操作

图片

与之前分析加密一样,先取出相应的 Key,然后再进行相应的操作

图片

计算 Hmac 值,并进行校验

图片

校验通过后进行解密

图片

接着就是读取并返回,后面对 conunter 的计数,看描述可能是防止 replay attack,具体情况并未分析清楚

图片

接着会通过读取返回值所指定的类型来决定以怎样的格式来返回

图片

具体类型的含义在 Job 中也可见一二

图片

然后按照指定格式处理完成后,会回传给 Controller

图片

在 output 中调用了 broadcast,也就意味着他是从 BroadcastWriter 中回传的

图片

接着 Controller 在 TeamQueue 中接收到了信息

图片

继续走处理流程

图片

接着在 DataManager 中进行相应处理

图片

接着 TeamServer 这边实际还有流程没有完成

图片

接着会将下面这些类型全部执行一遍

图片

随便一个跟进去,根据名字分析,应该是对结果值进行相应的提取的,可能是用于对票据等一些内容的展示

图片

Vesel『无心』
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 403
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
内网渗透神器CobaltStrikeBeacon详解(三)
xf555er的博客
11-19 1419
这两个beacon的原理是通过发送http请求与受害主机通信来传达命令, 以此实现控制效果优点是传输数据快, 缺点时隐蔽性差, 容易被防火墙或内网审计工具拦截。
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
内网安全学习从入门到入狱-神器-Cobalt Strike-二-Beacon简介和使用
god_Zeo的安全博客
03-15 1694
内网安全学习从入门到入狱-神器-Cobalt Strike2-Beacon简介和使用 内网安全学习从入门到入狱-神器-Cobalt Strike-二-Beacon简介和使用内网安全学习从入门到入狱-神器-Cobalt Strike2-Beacon简介和使用0x01简单的木马打到一台PC生成win的 Payload0x02 beacon的介绍和使用Beacon简介Beacon分类:http beac...
ibeacon广播数据简析
错过以后 终究是路人
05-06 6222
一、实验目的:分析基于ble的ibeacon协议广播数据含义二、实验环境:本文涉及的广播数据以TI ble芯片cc2xxx为例分析三、广播数据:static uint8 iBeacon_advertData[] = { //ble相关内容,与ibeacon无直接关系 // discoverable mode (advertises indefinitely) 0x02, // len
CobaltStrike 插件编写入门教程
weixin_42282189的博客
09-08 1131
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 简介 这篇文章主要以写一个判断beacon中存在的杀软进程脚本为例子来介绍如何去尝试从零开始写一个cobaltstrike插件。 cobaltstrike中aggressor-script是建立在sleep脚本之上,本篇文章涉及简单的sleep脚本基础,和cobaltstrike内置函数和事件的调用。 先看效果: 参考链接: https://www.cobaltstrike.com/aggressor-scri.
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
盖康使用Go来实现CobaltStrike的信标该项目仅用于学习协议分析逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件....
CobaltStrike4.4.zip
09-15
`.cobaltstrike.beacon_keys`文件可能包含Cobalt Strike Beacon的密钥,BeaconCobalt Strike的代理组件,它在目标系统上运行,执行攻击者指示的任务。这些密钥用于加密通信,确保C2通道的安全。 `c2lint`可能是一...
AggressorScripts:用于 Cobalt Strike 3.0+ 的 Aggressor 脚本
05-29
3.0+ 的 Aggressor 脚本apache-style-weblog-output.cna - 将博客点击输出到 Cobalt Strike 工作目录中名为 weblog.log 的类似 Apache 的访问日志文件beacon_to_empire.cna - 利用RESTful API 从 Cobalt Strike 上的...
Awesome-CobaltStrike-Defence:防钴打击
03-08
超棒的钴防卫 防钴打击 Cobalt Strike是一款功能齐全的商业化渗透测试工具,称其为“旨在执行有针对性的攻击并模仿高级威胁参与者的... 检测CobaltStrike的波动性 JARM指纹扫描仪 钴打击法医 Cobalt Strike资源 C
CobaltStrike 插件编写入门教程(二)
weixin_42282189的博客
11-01 1168
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 引言 之前写了一个可以离线判断目标beacon是否存在杀软的小插件,但是觉得还是不够完美。于是乎决定将其改造一下。 先看之前的效果: 之前的版本是将杀软信息输出到了eventlog中,这样在工作的时候会导致eventlog消息太多,看起来太杂乱。 0x01 思路 在cs中有一个内置的cna脚本叫做default.cna。这个脚本可以在cs官网上下载。 我注意到其中有一个名为BEACON_SBAR_LEFT的设.
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
FreeBuf_的博客
07-17 1130
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
WAF基础介绍
weixin_68864415的博客
07-13 1074
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 553
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1134
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
Web安全:未验证的重定向和转发.
最新发布
网络安全领域___专研者.
07-19 551
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。
网络安全防御【防火墙双机热备带宽管理综合实验】
miss_copper的博客
07-16 1241
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。链路开启过载保护,保护阈值80%;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值