Cobalt Strike (CS) 逆向初探

已于 2022-08-03 16:45:35 修改
阅读量644 收藏 1
点赞数 1
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 安全
于 2022-08-03 16:44:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126116344
版权

CS 逆向初探

首先,用裸ip直接生成一个cs的shellcode,用的是分离式的。

然后生成的是x86的,也就是32位的c语言的shellcode。

生成代码其实就是一个大小千字节左右的,无符号字符数组,把这段16进制数放到010editor(一个常用的编辑工具)里查看,除了执行代码外,还有一部分写死的数据,比如User-Agent,IP或域名等。

就把这段代码加载到内存去执行,来进一步分析,加载的代码如下:

unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\...(省略)";

void start()
{
    printf("begin....");
    //分配内存,可读可写可执行
    char*start = (char*)VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memc
了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 395
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
Cobalt Strike使用hanzolnjection的免杀
Blue的博客
08-31 583
使用hanzolnjection的免杀 一、介绍: Hanzoinjection介绍 对于免杀,我们也可以使用cs生成一个二进制格式的payload,也就是raw格式,运行时我们需要借助hanzolnjection , HanzoIjection 是一种工具,专注于在内存中注入任意代码。 地址:https://github.com/P0cL4bs/hanzoInjection 命令解析: -e 跟上生成的bin文件即可 -p -o 输出的位置/名字 -h 帮助 二、安装 1.首先在wi...
CSSG:Cobalt Strike Shellcode生成工具
weixin_43977912的博客
01-24 3560
CSSG CSSG是一款功能强大的Cobalt Strike Shellcode生成工具。本质上来说,CSSG是一个具备攻击性的Python脚本,广大研究人员可以使用它来轻松生成并格式化信标Shellcode。 该工具支持生成无阶段信标Shellcode,并带有暴露的退出方法、额外的格式化、加密、编码、压缩和多行输出等功能。 注意:Shellcode的转换通常需要按菜单顺序降序执行。 执行要求 可选的AES加密选项使用/assets文件夹中的python脚本实现。 具体取决于要安装的pycryptodome
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
无心的博客
01-14 374
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
免杀方法(五)golang加载器cobaltstrike shellcode
qq_56426046的博客
10-04 1847
Go语言目前是最火的编程语言之一,使用go语言编写的加载器,运行shellcode 可以过国内主流杀软,例如360安全卫士、360安全杀毒、火绒、瑞星、金山、 电脑管家。免杀效果很好。而且操作免杀的步骤简单。 项目地址https:/github.com/jax777/shellcode-launch Go语言编译器下载https:/studygolang.com/dlDownloads - The Go Programming Language安装go,下载安装包,傻瓜安装即可。解压下载的项目压缩包,新建6
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
无心的博客
01-14 258
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
CS 4.7 Stager 逆向及 Shellcode 重写
最新发布
stopys6的博客
09-16 550
一直很想有一个自己的控,奈何实力不允许,CS 仍然是目前市面上最好用的控,但是也被各大厂商盯得很紧,通过加载器的方式进行免杀效果有限,后来看到有人用 go 重写了 CS 的 beacon,感觉这个思路很好,但是 go 编译的也有很多问题,加载起来会有很多受限的地方,所以想着能不能用 C 去重写一个,不过 beacon 的功能很多,短时间去重写有点费劲,所以想先重写 CS 的 stager 部分,并能转化成 shellcode 通过加载器进行加载。
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 6656
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
红队笔记之CobaltStrike4.4源码修改方法
明光札记
12-04 7411
文章目录CobaltStrike4.4反编译的几个思路方法一:利用动态编程完成源码的修改方法二:借助反编译工具先反编译再进行编译方法三:借助原有jar与反编译源码修改并编译代码CobaltStrike4.4源码修改方法步骤简介具体步骤利用反编译工具逆向出源码新建工程引入逆向源码与原有jar包修改源码并重新打包 本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修改方法,修改CobaltStrike主要为了修改和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火.
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
cobaltstrike中文版.zip
05-17
cobaltstrike中文版.zip
CobaltStrike4.0渗透测试手册
03-18
CobaltStrike4.0渗透测试手册
Cobalt Strike4.1
12-30
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt ...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
无心的博客
01-14 257
这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller->TeamServer 当在 Console 中输入命令回车后,会进入 Beaco
CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
SecSource_Stars的博客
01-28 787
这是[信安成长计划]的第 10 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 基本校验与解析 0x02 初始化 0x03 启动 Listeners 在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的 0x01 基本校验与解析 先取了默认端口 接着对 Java 环境及一些参数进行了验证,并校验了 license 这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你
全网最全的Cobalt Strike使用教程-进阶篇
喜欢Python编程的程序员柚柚呀
08-17 3321
在这篇文章中,斗哥将详细介绍一下Cobalt Strike的各个模块是干什么的以及部分模块的具体使用方式。
Cobalt Strike安装
08-24
要安装Cobalt Strike,您需要遵循以下步骤: 1. 首先,确保您具有有效的许可证。Cobalt Strike是商业软件,您需要购买合法的许可证才能使用。 2. 在获得许可证后,访问Cobalt Strike的官方网站(https://www.cobaltstrike.com/)并下载安装程序。 3. 解压缩下载的文件。您将获得一个名为"cobaltstrike.jar"的Java可执行文件。 4. 确保您的系统已经安装了Java Runtime Environment(JRE)。如果没有安装,请先安装JRE。 5. 打开命令行终端,并导航到cobaltstrike.jar所在的目录。 6. 使用以下命令来启动Cobalt Strike: ``` java -jar cobaltstrike.jar ``` 这将启动Cobalt Strike的图形用户界面(GUI)。 7. 在Cobalt Strike GUI中,您可以输入您的许可证信息并完成安装过程。 请记住,在使用Cobalt Strike时要遵守法律法规,并且只能在合法授权的环境中使用该软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值