CobaltStrike逆向学习系列(10):TeamServer 启动流程分析

最新推荐文章于 2024-08-30 10:21:17 发布
最新推荐文章于 2024-08-30 10:21:17 发布
阅读量862 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 安全 系统安全 web安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/122727746
版权
本文详细分析了CobaltStrike的TeamServer启动流程,包括基本校验、初始化和启动Listeners的过程。在初始化阶段,TeamServer设置C2Profile,验证license,并初始化关键组件如ServerBus和Archiver。启动Listeners部分展示了如何根据配置启动监听并处理通信,涉及RSA密钥生成和BeaconC2信息设置。整个流程揭示了CobaltStrike内部处理通信的逻辑。
摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 10 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 基本校验与解析

0x02 初始化

0x03 启动 Listeners

在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的

0x01 基本校验与解析

先取了默认端口

图片

接着对 Java 环境及一些参数进行了验证,并校验了 license

图片

这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你在跑 Controller 的时候,最好也一样将其参数加上,不然有可能会出现一些莫名其妙的问题

图片

对于 IP 等内容的判断就不重点关注了,看一下他在解析 C2Profile 时候的对比,如果有指定的话,会走下面那个流程,直接将地址传入 LoadProfile

图片

而在默认情况下,则调用了 LoadDefaultProfile,但它实际还是调用了 LoadProfile,然后直接加载了 resources 中的默认文件

图片

之后就到了最关键的初始化环境的地方

0x02 初始化

先在 C2Profile 中增加了两项内容,license 认证中的水印与当前的路径,具体作用暂时也不清楚

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 688
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 791
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 481
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
vscode二开havoc的teamserver环境搭建(C2远控二开)
最新发布
anddddoooo的博客
08-30 975
因为编译teamserver使用的是makefile编译的,所以type设置为shell,teamserver编译原命令为 make ts-build,按照上面的设置即可,还要设置"problemMatcher": "$go" 错误抓取。# 这个文件不用怎么改,就是vscode自带的远程调试go的launch.json,但是要加上"preLaunchTask": "build",至于build,他就是我们接下来对于调试前编译的配置,可以认为它是先编译后调试。
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
无心的博客
01-14 758
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
无心的博客
01-14 312
这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller->TeamServer 当在 Console 中输入命令回车后,会进入 Beaco
CobaltStrike逆向学习系列-主线篇
02-22
通过逆向的方式分析 CobaltStrike,包含 bypass、检测 等内容,是深入了解和二次开发,非常好的参考资料
cobaltstrike teamserver调试配置
信息安全
06-16 2481
最近在研究cobaltstrike,想着看看控制端登录teamserver的验证部分,可是却不知道该如何调试teamserver搜了一下,往上cobaltstrike二次开发环境搭建的文章有很多,不过都没有说明对teamserver的调试。在配置teamserver调试的过程中踩了一点坑,遂记录一下。......
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
红队专题-Cobalt strike从小白到飞升手册
aming小老弟
10-09 1411
4.0 2019年12月2日 更新 Cobalt Strike 4.0 手册奇安信 A-TEAMCobalt Strike 是一款 美国Red Team开发的 商业GUI框架式 优秀的渗透测试工具 简称CS为对手模拟渗透测试 和红队行动而设计的 协作工具平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。可以利用网络漏洞获取主机权限后、从一个强大的图形界面控制所有的活动。因可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
cobaltstriketeamserver连接攻击目标
孤的博客
08-22 2952
官网:https://www.cobaltstrike.com/ Cobalt Strike: C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透。 Cobalt Strike 一款GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。 启动服务器端: ./teamserver 1
第一章cobaltstriketeamserver连接攻击目标
zhang123457689的博客
05-25 848
使用cs工具连目标主机
cobalt strike 第一节连接到团队的服务器
weixin_30535043的博客
03-17 822
介绍:Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个...
cobaltstrike启动teamserver报错Picked up _JAVA_OPTIONS:
2302_77302329的博客
05-29 870
把所有cobaltstrike相关的东西删掉,之后再重新上传cobaltstrike的压缩包到虚拟机中。1、windows下在环境变量里找到、然后删除就行了。之后重启电脑,是虚拟机里面的就重启虚拟机;只需要删掉它就行了!
cobalt_strike_4.7启动报错.teamserver: 行 6: .TeamServerImage: 权限不够(解决方法)
XXokok的博客
12-11 2645
cobalt_strike_4.7启动报错.teamserver: 行 6: .TeamServerImage: 权限不够(解决方法)
Cobalt Strike(学习笔记)
那年烟花终亦冷
06-07 3516
Cobalt Strike简介 Cobalt Strike 是一款GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。 Cobalt Strike: C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透。 注:鉴于作为新人面试会用到这些基础知识,所以把简介也抄过来了。 安装Cobal
Cobalt Strike使用教程
huangyongkang666的博客
04-03 6219
Cobalt Strike使用教程 1.CS简介 ​ Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器,是域渗透,内网渗透,内网漫游,后渗透手段利器,但前提是获得一台主机的shell。早期版本CobaltSrtike依赖Metasploit框架,而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端(Client)与服务端(Teamserver),服务端是一个,客户端可以有多个,团队可进行分布式协团操作 ​ Cobalt Strike集成了端口转发、扫
内网神器cobaltstrike使用教程
zkaqlaoniao的博客
12-15 1754
系统环境:需要java环境Oracle Java 1.8,Oracle Java 11下载解压就可以使用首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地服务端启动命令windows运行teamserver.batlinux需要有足够权限,可以通过chmod +x teamserver 来提高权限这里为设定一个服务端,前面为服务端所在机器的ip ,后面为密码启动服务端后,我们就可以启动客户端去连接了。
DAY41:Cobalt Strike 工具使用
qq_49433473的博客
08-28 2555
Cobalt Strike 工具使用、CS 联动 MSF 使用(FRP 内网穿透)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值