- 我眼中的beacon与beacon stage/stager
beacon指的是受害者与我们的teamserver所建立的这个连接,也可以理解成我们所获的的对方主机的控制权,beacon stage/stager是生成的可执行文件。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xILZC4gK-1596542263957)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p77)]](https://i-blog.csdnimg.cn/blog_migrate/f969184c9bdbe249ff4de015c4cdd8a2.png)
- 什么是stage(stageless)?
stage是无阶段的stager,可以直接理解成,stage是stager与它所请求的数据的集合体。stage比stager更安全,但是体积更大。而且在内网穿透的时候基本只能用stage,用stager会十分麻烦,stager是分段传输payload的,使用stager有时候会导致目标无法上线。stage唯一的缺点是相比较而言体积比较大。
- 什么是stager?
stager其实是一段很简单的加载器,是socketedi协议请求的一段shellcode,它的作用是向teamserver(C2)请求一段数据,这些数据前是个字节是shellcode的长度,后面是shellcode。接收到数据后跳转到shellcode所在的内存处开始运行。
tips
powershell payload 也相当于 stager,因此powershell 的payload一般不能用于多级内网穿透。
- beacon与c2通信逻辑
1.stager的beacon会先下载完整的payload执行,stage则省略这一步
2.beacon进入睡眠状态,结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profie文件里的http-get模块进行自定义),metadata内容大概是目标系统的版本,当前用户等信息。
3.如果存在待执行的任务,则c2会响应这个metadata发布命令。beacon将会收到具体任务内容与一个任务id。
4.执行完毕后beacon将回显数据与任务id用post方式发送回C2(细节可以在malleable_profile文件中的http-post部分进行自定义),然后又会回到睡眠状态。参考资料
https://www.chabug.org/web/832.html
- 什么是C2?
C2就是command&control server,命令控制服务器
- hta木马
http application的缩写是一种独立的程序跟c++写的程序没啥区别。可以被windows电脑的mshta命令直接执行。可更改任意后缀名。
- dll木马
regsvr32 demo.dll 即可执行。
- 如何更改心跳包频率
sleep 60 37 #其中60是默认时间,后面的37是抖动频率,实际范围为37.8秒到82.2秒一次。
- 补充:一些beacon中的命令解释
argue 进程参数欺骗
blockdlls 阻⽌⼦进程加载⾮Microsoft DLL
browserpivot 注⼊受害者浏览器进程
bypassuac 绕过UAC提升权限
cancel 取消正在进⾏的下载
cd 切换⽬录
checkin 强制让被控端回连⼀次
clear 清除beacon内部的任务队列
connect Connect to a Beacon peer over TCP
covertvpn 部署Covert VPN客户端
cp 复制⽂件
dcsync 从DC中提取密码哈希
desktop 远程桌⾯(VNC)
dllinject 反射DLL注⼊进程
dllload 使⽤LoadLibrary将DLL加载到进程中
download 下载⽂件
downloads 列出正在进⾏的⽂件下载
drives 列出⽬标盘符
elevate 使⽤exp
execute 在⽬标上执⾏程序(⽆输出
execute-assembly 在⽬标上内存中执⾏本地.NET程序
exit 终⽌beacon会话
getprivs Enable system privileges on current token
getsystem 尝试获取SYSTEM权限
getuid 获取⽤户ID
hashdump 转储密码哈希值
help 帮助
inject 在注⼊进程⽣成会话
jobkill 结束⼀个后台任务
jobs 列出后台任务
kerberos_ccache_use 从ccache⽂件中导⼊票据应⽤于此会话
kerberos_ticket_purge 清除当前会话的票据
kerberos_ticket_use Apply 从ticket⽂件中导⼊票据应⽤于此会话
keylogger 键盘记录
kill 结束进程
link Connect to a Beacon peer over a named pipe
logonpasswords 使⽤mimikatz转储凭据和哈希值
ls 列出⽂件
make_token 创建令牌以传递凭据
mimikatz 运⾏mimikatz
mkdir 创建⼀个⽬录
mode dns 使⽤DNS A作为通信通道(仅限DNS beacon)
mode dns-txt 使⽤DNS TXT作为通信通道(仅限D beacon)
mode dns6 使⽤DNS AAAA作为通信通道(仅限DNS beacon)
mode http 使⽤HTTP作为通信通道
mv 移动⽂件
net net命令
note 备注
portscan 进⾏端⼝扫描
powerpick 通过Unmanaged PowerShell执⾏命令
powershell 通过powershell.exe执⾏命令
powershell-import 导⼊powershell脚本
ppid Set parent PID for spawned post-ex jobs
ps 显示进程列表
psexec Use a service to spawn a session on a host
psexec_psh Use PowerShell to spawn a session on a host
psinject 在特定进程中执⾏PowerShell命令
pth 使⽤Mimikatz进⾏传递哈希
pwd 当前⽬录位置
reg Query the registry
rev2self 恢复原始令牌
rm 删除⽂件或⽂件夹
rportfwd 端⼝转发
run 在⽬标上执⾏程序(返回输出)
runas 以其他⽤户权限执⾏程序
runasadmin 在⾼权限下执⾏程序
runu Execute a program under another PID
screenshot 屏幕截图
setenv 设置环境变量
shell 执⾏cmd命令
shinject 将shellcode注⼊进程
shspawn 启动⼀个进程并将shellcode注⼊其中
sleep 设置睡眠延迟时间
socks 启动SOCKS4代理
socks stop 停⽌SOCKS
spawn Spawn a session
spawnas Spawn a session as another user
spawnto Set executable to spawn processes into
spawnu Spawn a session under another PID
ssh 使⽤ssh连接远程主机
ssh-key 使⽤密钥连接远程主机
steal_token 从进程中窃取令牌
timestomp 将⼀个⽂件的时间戳应⽤到另⼀个⽂件
unlink Disconnect from parent Beacon
upload 上传⽂件
wdigest 使⽤mimikatz转储明⽂凭据
winrm 使⽤WinRM横向渗透
wmi 使⽤WMI横向渗透
扫一扫
3640
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
