这是[信安成长计划]的第 2 篇文章
关注微信公众号[信安成长计划]
0x00 目录
0x01 Patch Beacon
0x02 Patch Loader
0x03 文件对比
0x04 流程图
CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。
本文的分析流程使用的 payload 是 windows/beacon_http/reverse_http
0x01 Patch Beacon
下面是 Stageless Beacon 的生成界面
首先在点击生成时,会进入 WindowsExecutableStageDialog.dialogAction 来进行处理,根据界面中所选择的输出类型,决定生成什么后缀的文件,然后弹出保存框
在选择完成后,会进入 dialogResult 方法,来处理 Patch 操作
首先会获取当前所选择的 Listener 的名字,并根据名字获取到 Listener,同时也获取当前所选择的架构
接着会走到 Patch Beacon 的最关键的方法 export
在 export 中,会先根据所选择的 payload 来决定调用哪个处理函数