cobalt strike各种beacon的详解(http/https/tcp)

最新推荐文章于 2024-08-14 17:04:01 发布
最新推荐文章于 2024-08-14 17:04:01 发布
阅读量10w+ 收藏 22
点赞数 9
分类专栏: 渗透测试基础知识 cobalt strike相关 beacon 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/107842074
版权

Beacon

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OMkO0xT4-1596708552606)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p80)]

从Cobalt strike4.0开始就只有这几种beacon,一般情况下想要得到beacon就先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。

附录 beacon与c2通信逻辑
1.stager的beacon会先下载完整的payload执行,stage则省略这一步
2.beacon进入睡眠状态,结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profi
e文件里的http-get模块进行自定义),metadata内容大概是目标系统的版本,当前用户等信息。
3.如果存在待执行的任务,则c2会响应这个metadata发布命令。beacon将会收到具体任务内容与一个任务id。
4.执行完毕后beacon将回显数据与任务id用post方式发送回C2(细节可以在malleable_profile文件中的http-post部分进行自定义),然后又会回到睡眠状态。

其他相关问题可以看cobalt strike中的一些小知识点的理解

不同的监听方式会生成不同的beacon,本文就对这些不同的beacon进行讲解,后面还会有文章分析各种beacon的流量有什么区别。

http beacon

创建listener

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QD7OUkXT-1596708552611)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p81)]

一般情况下,只需要填Http Host(Stager)与Http Host和Http port(C2)就够了,前两个值一般相同,是你自己C2的域名或者ip,第三个值是你的监听端口。
后面的Bind是绑定web服务的端口,一般在使用重定向技术的时候会用到(例如接收来自80端口的连接,但是将连接重定向到另一个端口,这个跟利用C2重定向技术隐藏teamserver)不一样。http host header是在使用域前置技术的时候可能会用到。

原理

利用http请求来进行通信来向受害主机传达命令,达到控制对方主机的目的。缺点是明文传输。

https beacon

创建listener

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3mWgkNRH-1596708552613)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p82)]

创建方法与http beacon完全一致,其实熟悉http与https区别的人可能更容易理解这两种不同beacon的区别。

原理

只是增加了加密传输,其余跟http完全相同。

附录
https通信原理
https是http+ssl,利用非对称密钥加密实现数据传输安全。为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,下列步骤即为https的认证步骤。https主要解决身份认证问题与明文传输问题。

  1. 浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型
  2. 服务器接到请求,确定加密算法;
  3. 服务器将数字证书反馈之浏览器;
  4. 浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;
  5. 浏览器将密文发送至服务器;
  6. 服务器使用私钥进行解密得到会话密钥R;
  7. 服务器使用会话密钥R将网页内容反馈之浏览器;
  8. 浏览器使用会话密钥R解密,获得网页内容

tcp listener

cs4.0之后,只有正向的tcp listener了,这个技术不适用于作为第一个木马来用,反而很适合在内网穿透的时候去使用,且在内网穿透的时候一般只能使用tcp beacon去生成木马(cs生成的pivot listener上只有tcp beacon这一个选项)。

创建方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hHP2rP3d-1596708552616)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p132)]

为什么tcp与http不适合作为第一个木马来使用呢?其实原因很简单,因为他们都是明文流量,容易被发现,先以第一个比较隐蔽的木马进入目标系统后关闭一些防御措施,然后再用普通的木马上效果就比较好。

以上三种是比较易于理解的beacon。一些比较特殊的beacon例如smb,dns,external,foreign等,由于篇幅原因,我会在下面的文章中讲解,方便大家循序渐进的学习。

dns与smb beacon详解与一种内网穿透方法的实践
external c2的用途与理解
Foreign Beacon与CS跟MSF之间的会话派发与ssh端口转发
cs木马流量分析

Shanfenglan7
关注
专栏目录
148.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon基础使用/脚本web传递/屏幕截图/端口扫描]
qwsn
03-19 3388
一、Cobalt Strike基本使用 1、Cobalt Strike简介 2、Cobalt Strike(CS)整体框架图 二、Cobalt Strike简单使用 1、实验坏境 2、实验过程
Cobalt Strike beacon详解
qq_38348692的博客
08-18 3495
这篇文章接着上一篇weblogic漏洞拿到beacon开始写的,拿beacon的过程详细请看上上一篇文章:[WebLogic wls9-async 反序列化漏洞(CNVD-C-2019-48814)复现](https://blog.csdn.net/qq_38348692/article/details/99676809)。 beacon 中输入和help,查看所有的命令,及翻译: Beaco...
Cobalt Strike 的通信过程 & 协议
shawdow_bug的博客
10-29 3165
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 BeaconCobalt Strike 服务端之间的通信过程,括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能括,等等。
Cobalt Strike 4.8 用户指南-第一节-Cobalt Strike介绍及安装
最新发布
YJ_12340的博客
08-14 1341
图中的 Intrumentation & Telemetry 大概可以翻译为「终端行为采集 Agent & 云端 行为分析引擎」。Instrumentation 指的应该是安装在目标主机上的各类日志收集与监控类工 具, Telemetry 指的应该是将这些监控类工具所产出的各位监测日志进行归一化、汇聚到一个统 一分析引擎并等待引擎的研判结果这类的过程。深思熟虑的有针对性的攻击从都是从侦察开始的。的系统分析器是一个Web应用程序,可以映射目标的客户端攻击面。
CobaltStrikeBeacon命令使用
Longwaer
02-11 1260
学习掌握CobaltStrike的基础命令,更好的在渗透测试中使用。
Cobalt Strike -- 各种beacon
huohaowen的博客
03-25 1270
本文来讲一下cs里面的beacon
内网渗透神器CobaltStrikeBeacon详解(三)
xf555er的博客
11-19 1498
这两个beacon的原理是通过发送http请求与受害主机通信来传达命令, 以此实现控制效果优点是传输数据快, 缺点时隐蔽性差, 容易被防火墙或内网审计工具拦截。
Cobalt StrikeBeacon 使用介绍以及 Profile 文件修改Beacon内存教程
W小哥
08-23 3663
1、内存段是rwx权限2、内存中有 beacon 字符串3、内存中有 ReflectiveLoader 字符串。
Cobalt Strike系列教程3 beacon详解
weixin_42140534的博客
02-04 1564
0x01 Beacon详解 0x01.1 Beacon 命令 通过系列教程2的学习,配置好Listeners,让目标及执行我们的payload后门程序后,即可发现目标主机已经上线 右键目标选择使用Beacon,我们用它来执行各种命令 == 在Cobalt Strike中他的默认心跳是60s(即sleep时间是60s,每一分钟目标主机与teamserver通信一次)这让我们执行命令或者进行其他操...
cobaltstrike中文.rar
01-09
** Cobalt Strike 知识点详解 ** Cobalt Strike 是一款高级的网络攻击框架,主要应用于渗透测试和红队操作。它由 Raphael Mudge 创建,以其强大的远程访问工具(RAT)和协同攻击能力而闻名。在网络安全领域,Cobalt...
cobalt strike profile
m0_59119089的博客
12-27 1438
cobalt strike profile 说明
cobalt strike笔记-常用beacon命令.pdf
04-03
cobalt strike笔记-常用beacon命令
Cobalt Strike 域内渗透
f_carey的博客
01-25 3773
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Cobalt Strike 域内渗透1 实验环境1.1 实验拓扑1.2 配置 Win08/Win72 收集域内信息2.1 查询当前权限2.2 判断是否存在域2.3 查找域控制器2.4 查询当前域内存活主机2.4.1 利用 windows 内置命令收集2.4.2 利用NetBIOS 探测内网2.4.3 利用 IC.
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
149.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon重定器/代理服务器/流量走向分析]
qwsn
03-21 3962
一、Cobalt Strike 重定器 1、Cobalt Strike 重定器简介 2、重定器用到的端口转发工具 二、cobalt strike重定器实验 1、实验背景 2、实验过程 3、流量分析
Cobalt StrikeBeacon原理浅析
Ms08067安全实验室
03-06 2004
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下Beacon的一些基础知识,如果有师傅没有看过这个系列之前的文章,可以点击下方图片阅读。Cobalt Strike 作为...
Cobaltstrike学习(二)beacon命令
kang_12358的博客
07-20 6114
Cobaltstrike学习(二)beacon命令 1.Beacon命令 在已经上线的服务器上右击==>打开Beacon,在里面可以执行各种命令 在cs中默认的心跳时间是60s,我们可以用sleep 命令来更改心跳时间(心跳时间是指上线的服务器和cs服务器的通信时间) 心跳时间很长就会响应的时间很慢,但也不能设置的很短,不让很容易会被监测到与cs通信的流量,具体多少可以根据测试环境自己来设置。 在Beacon中执行cmd命令时需要在前面加上shell,例如:shell whoami.
大海捞“帧”:Cobalt Strike服务器识别与staging beacon扫描
qq_53058639的博客
08-03 1252
Cobalt Strike 作为一种后渗透工具,可以完成侦察鱼叉式钓鱼浏览器代理等攻击。Cobalt Strike 分为客户端和服务器两部分,服务器端被称之为Team Server。Team Server既是Beacon payload的控制器,也是Cobalt Strike提供社工功能的主机。TeamServer还存储了Cobalt Strike收集的数据以及日志记录。
内网渗透神器CobaltStrike之DNS Beacon(四)
xf555er的博客
11-19 1505
利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。
cobaltstrike
07-27
CobaltStrike是一款常用的渗透测试工具,它需要在运行之前安装Java环境。具体来说,在Kali Linux上需要安装JDK11,在Windows 7上需要安装JDK1.8。\[1\]在Linux下,可以通过运行"./cobaltstrike"命令来启动CobaltStrike客户端。在启动客户端时,需要填写团队服务器的IP地址、端口号、用户名和密码。请注意,登录的用户名可以任意输入,但要确保该用户名没有被用于登录CobaltStrike服务器。\[2\]在确认信息填写无误后,点击"Connect"按钮连接到服务器。在连接过程中,会出现指纹校验对话框,用于防止篡改,每次创建CobaltStrike团队服务器时生成的指纹都是不同的。连接成功后,可以打开CobaltStrike的主页面,主页面括菜单栏、快捷功能区、目标列表区、控制台命令输出区和控制台命令输入区。\[3\] #### 引用[.reference_title] - *1* [内网渗透工具CobaltStrike使用教程详解](https://blog.csdn.net/weixin_43847838/article/details/125069147)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Cobalt Strike(学习笔记)](https://blog.csdn.net/weixin_44947444/article/details/117669857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值