CobaltStrike逆向学习系列(13):RDI 任务执行流程分析

最新推荐文章于 2023-08-04 11:34:14 发布
最新推荐文章于 2023-08-04 11:34:14 发布
阅读量1.9k 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 学习 系统安全 web安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/123029948
版权
本文深入分析了CobaltStrike中RDI任务的执行流程,包括任务号的解析、功能执行过程,涉及内存分配、注入执行的多种方法,如VirtualAllocEx、NtMapViewOfSection、CreateRemoteThread等,并讲解了结果接收和管道通信的细节。
摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 13 篇文章

0x00 目录

0x01 任务号

0x02 功能执行

0x03 结果接收

在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析

0x01 任务号

按照上一次流程的分析,RDI 在构建的时候实际发布了两个任务,一个是 HashDump 的任务号,还有一个是通过 getJobType 获取到的

图片

根据上一篇文章的流程 HashDump 所调用的任务号是 44,这里的 getJobType 值也是直接在 Job 类当中写死了 40

图片

同时还有一点比较重要的就是,在第二个任务中所保存的,正是前面 Patch 到 HashDump 中的管道名

图片

其实根据这些,也就大致能够推测出后面这个功能就是用来接收 RDI 功能执行结果的

0x02 功能执行

直接看功能执行函数,

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
CobaltStrike逆向学习系列-主线篇
02-22
12. **RDI任务发布和执行流程分析** - **任务构建和结果处理**:深入理解Remote Dynamic Instruction (RDI)任务的创建、发送和结果处理。 - **功能DLL分析**:探讨RDI任务中涉及的功能库,如何实现特定的渗透测试...
CobaltStrike逆向学习系列(14):CS功能分析-DotNet
SecSource_Stars的博客
02-20 1818
这是[信安成长计划]的第 14 篇文章 0x00 目录 0x01 DotNet功能分析 0x02 DotNet功能执行 0x03 写在最后 在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet 0x01 DotNet功能分析 CobaltStrike 提供了一种可以执行任意 DotNet 程序的方案,使用了名叫 invokeassembly 的 DLL,来加载和执行所传递的 DotNet 功能,提供这个方法的 Job 是 ExecuteA
CobaltStrike逆向学习系列(12):RDI 任务发布流程分析
SecSource_Stars的博客
02-20 332
这是[信安成长计划]的第 12 篇文章 0x00 目录 0x01 任务构建 0x02 结果处理 0x03 功能 DLL 分析 之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析 0x01 任务构建 CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令 这两种方式在执行前都会去判断当前用户的权限
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1236
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 5543
cobalt strike流量特征分析
CobaltStirke BOF技术剖析(一)|BOF实现源码级分析
最新发布
发果叁
08-04 748
对BOF(Beacon ObjectFile)的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部BeaconAPI调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。
iRPGUnit:RDi 8.0+ 的 iRPGUnit 项目-开源
05-30
iRPGUnit 是 RDi 8.0+ 的开源插件。 该插件为 IBM i 上的 RPG 提供单元测试。 iRPGUnit 是 RPGUnit 项目的一个分支,提供增强功能和一个 Eclipse 插件,用于从 IBM Rational Developer for i 运行单元测试。 有关...
RDI: Runtime Dependencies Installer-开源
04-24
RDI是一个库,使您的应用程序能够在运行时安装其依赖项。 非常适合面向插件的体系结构。 多种类型的部门:RPM,DEB,.so,.dll,RubyGems ...可以轻松扩展为新的类型。
基于RDI的长江流域干旱时空变化分析
01-09
为了深入了解长江流域干旱的时空变化特征,本文采取了基于Reconnaissance Drought Index(RDI)的分析方法,探讨了1961-2012年长江流域干旱变化趋势。 RDI,即干旱侦测指数,是一种用于干旱监测和分析的工具。它...
rdi:具有React能力的依赖注入库,由Reactor提供支持
03-11
RDI 具有React功能的Dependency Injection库,由Reactor提供支持。 什么是RDIRDI代表响应式依赖注入。 它是一个库,允许通过定义它们的依赖关系来管理应用程序中存在的bean,服务和任何类型的Java对象的实例化...
cobaltstrike_bofs:我的CobaltStrike BOFS
03-12
QueueUserAPC_PPID queueuserapc_ppid / BOF在指定的父对象下生成您选择的进程,并通过QueueUserAPC()注入提供的shellcode文件。
在linux下做源码免杀,Cobaltstrike免杀从源码级到落地思维转变
weixin_39856589的博客
05-12 502
文章来源;https://www.freebuf.com/articles/web/258988.html前言距离上一篇文章《那些FastJson漏洞不为人知的事情(开发角度)》已经过去三天了,但在我的心中仿佛过了一年。这三天是我在分析Cobaltstrike源码的一个过程,阅尽代码冷暖,但我依然要说一句Cobaltstrike牛逼~场景描述最早我为了研究MSF的免杀,去看了MSF木马源码,其采用...
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3254
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
Cobaltstrike系列教程(十二)CS与MSF,Armitage,Empire会话互转
J0o1ey Blog
01-19 2715
0x001-Cobaltstrike与MSF会话互转 ①Metasploit派生shell给Cobaltstrike 首先,你需要拿到一个metepreter会话,本例中session为1 Cobaltstrike的teamserver的ip为8.8...
Cobalt Strike (CS) 逆向初探
悦分享
08-03 742
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 457
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
红队笔记之CobaltStrike4.4源码修改方法
明光札记
12-04 7660
文章目录CobaltStrike4.4反编译的几个思路方法一:利用动态编程完成源码的修改方法二:借助反编译工具先反编译再进行编译方法三:借助原有jar与反编译源码修改并编译代码CobaltStrike4.4源码修改方法步骤简介具体步骤利用反编译工具逆向出源码新建工程引入逆向源码与原有jar包修改源码并重新打包 本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修改方法,修改CobaltStrike主要为了修改和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火.
Cobaltstrike系列教程(十三)控制持久化
J0o1ey Blog
01-19 5582
0x000-前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 群号820783253 0x001-右键菜单实现控制持久化 在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。 目前常见的手法有: 1.注册表 2.启动项 3.计时任务 4.设置服务 5.shift后门 6.dll劫持(白加黑) 7.利用其他安装的软件 ...
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
无心的博客
01-14 721
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike逆向分析深度探索
此外,还讨论了如何实现自定义的Beacon检测工具,以及RDI任务的发布和执行流程,并对CobaltStrike的特定功能如DotNet和BOF进行了分析。" CobaltStrike是一款广泛用于红队行动和安全评估的工具,其逆向分析对于理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值