CobaltStrike逆向学习系列(15):CS功能分析-BOF

最新推荐文章于 2024-05-26 09:52:42 发布
最新推荐文章于 2024-05-26 09:52:42 发布
阅读量812 收藏 2
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/123069354
版权
本文是CobaltStrike逆向学习系列的第15篇,主要分析了BOF(Buffer Overflow Function)功能,包括其执行流程和特点。BOF在CS中以PostExInlineObject类为基础,执行时会获取beacon的payload和架构,通过go函数解析并执行。BOF允许自定义执行函数,通过参数传递数据,具有良好的扩展性。文中提到了COFFLoader作为内存加载器的参考资源,并指出虽然细节优化空间大,但CS的整体设计十分完善,方便功能扩展。
摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 15 篇文章

0x00 目录

0x01 BOF功能分析

0x02 BOF功能执行

0x03 写在最后

其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了

0x01 BOF功能分析

在 CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个

图片

它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好

图片

在实际调用的时候,会先获取到 beacon 的 payload 和架构,然后一起传入后,调用了 go

图片

在 go 函数里,首先会获取到需要执行的 bof 文件,然后对其进行解析

图片<

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
Cobalt Strike (CS) 逆向初探
悦分享
08-03 742
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
SecSource_Stars的博客
01-10 678
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStirke BOF技术剖析(一)|BOF实现源码级分析
发果叁
08-04 748
BOF(Beacon ObjectFile)的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部BeaconAPI调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。
一个Cobalt Strike信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定已加载模块或进程句柄的进程。-C/C++开发
05-27
一个Cobalt Strike信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定已加载模块或进程句柄的进程。 FindObjects-BOF一个钴打击信标对象文件(BOF)项目,该项目使用直接系统调用来枚举特定模块或进程句柄的进程。 这个仓库是做什么用的? 在信标对象文件中使用直接系统调用来枚举特定已加载模块(例如winhttp.dll,amsi.dll或clr.dll)的进程。 在信标对象文件中使用直接系统调用来枚举特定进程句柄的进程(例如lsass.exe)。 避免使用Windows和本机API
内网渗透神器CobaltStrikeBOF编写(十一)
xf555er的博客
08-21 1435
Beacon Object File(BOF) 从Cobalt Strike4.1开始所添加的新功能,它允许你使用C语言编写扩展来扩展Beacon的功能。这些扩展可以在运行时直接加载到Beacon的内存中并执行,无需在目标机器的磁盘上创建任何文件BOF的一个关键特性是它的运行时环境非常有限。它不能直接调用Windows API,而只能通过Cobalt Strike提供的一组函数来与操作系统进行交互。这样做的原因是为了防止BOF在运行时出错导致Beacon崩溃。
BOF-DLL-Inject:使用Cobalt Strike的信标目标文件实现手动Map DLL注入
04-14
BOF-DLL-注入 BOF DLL注入是一个自定义的,该使用手动映射DLL注入以便将dll全部从内存迁移到进程中。 好处 不太可能被签名 DLL有效负载保留在内存中,永不接触磁盘 附加功能易于实现 DLL未在内核领域注册为包括EPROCESS结构的模块 笔记 要了解我如何开发此工具以及有关该工具的更多信息,请参阅我的博客
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CS-Situational-Awareness-BOF:使用信标对象文件实现的情境意识命令
02-05
CS-Situational-Awareness-BOF:使用信标对象文件实现的情境意识命令
cobaltstrike_bofs:我的CobaltStrike BOFS
03-12
这个压缩包可能包含了源代码、配置文件、文档或示例,供安全研究人员或红队成员学习和使用CobaltStrike的这一功能。 为了深入了解这个话题,你需要对CobaltStrike的工作原理、Windows API的使用以及恶意代码注入...
CS-BOFs:CobaltStrike信标对象文件的集合
05-26
CS-转炉 CobaltStrike信标对象文件的集合
BOF:收集信标对象文件以与Cobalt Strike一起使用以促进:spiral_shell:
03-04
信标对象文件 姓名 句法 MiniDumpWriteDump minidumpwritedump <PID> <path_of_dmp?> MiniDumpWriteDump BOF(仅限64位) DbgHelp的MiniDumpWriteDump函数的自定义实现。 使用静态syscall来替换诸如NtReadVirtualMemory之类的低级函数。 使用@jthuraisamy的和@Outflanknl的生成的系统。 代码改编自ReactOS在上实现的MiniDumpWriteDump。
CobaltStrike-BOF:信标BOF集合,用于学习窗户和钴击
03-20
CobaltStrike转炉 信标转炉的集合。 1)DCOM横向运动 一种快速PoC,它通过信标对象文件使用DCOM(ShellWindows)进行横向移动。您可以指定凭据或使用当前用户。要使用当前用户,只需将域,用户名和密码保留为空。有关在C中使用COM对象的简短文章。 2)WMI横向移动-Win32_Process创建 与上一个概念相似,但有趣的学习经验。 采纳的代码 。此方法使用Win32_Process类。 3)WMI横向移动-事件订阅 这使用WMI事件进行横向移动。大部分繁重的工作都是由完成的 4)按需C2 这是使用dotnet BOF的按需C2的实现。信标将进入睡眠状态,直到提供带有给定单词(主题或正文)的电子邮件为止。这样,您的信标仅在您希望其呼叫家时才呼叫家。当信标呼叫到家时,它将以可延展配置文件中配置的任何睡眠时间呼叫到家。完成后,您可以再次运行BOF,并且信标将
COFFLoader
03-04
COFF装载机 这是一个快速而又肮脏的COFF加载器(又名信标对象文件)。 当前可以运行未修改的BOF,因此无需CS代理运行即可将其用于测试。 唯一的例外是与注入相关的信标兼容性功能只是空的。 主要目标是提供一个可行的示例,并且可能对某人有用。 部分 下面列出了一些内容。 beacon_compatibility:这是信标内部函数,因此您可以加载BOF文件并运行它们。 COFFLoader:这是实际的coff加载器,当为nix构建时,仅加载并解析64位目标文件。 测试:这是示例“ COFF”文件,在调用make时将为您构建COFF文件。 beacon_generate:这是一个帮助程序脚本,用于构建与beacon_compatibility函数兼容的字符串/参数。 信标生成 如果BOF接受参数,则只需为参数添加预期类型的​​参数,并生成十六进制字符串以供使用,这将用于为COFFL
OSCP-BoF:这是有关了解#OSCP考试中存在的#BoF机器的演练
05-04
触发BoF(这对OSCP有利,因为它们为您提供了代码段) 查找EIP偏移 确认偏移 找到坏蛋 确认错误字符+查找JMP ESP指令 确认代码执行(pop calc) 利用主机 它基于“”项目(顺便说一句,对此进行了令人敬畏的解释)...
探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板
最新发布
gitblog_00085的博客
05-26 431
探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板 项目地址:https://gitcode.com/securifybv/Visual-Studio-BOF-template 在网络安全领域,Cobalt Strike的Beacon Object Files(BOFs)是一个强大的工具,它让扩展Beacon功能变得更加简便且安全。BOFs是COFF对...
CobaltStrike 插件编写入门教程(二)
weixin_42282189的博客
11-01 1254
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 引言 之前写了一个可以离线判断目标beacon是否存在杀软的小插件,但是觉得还是不够完美。于是乎决定将其改造一下。 先看之前的效果: 之前的版本是将杀软信息输出到了eventlog中,这样在工作的时候会导致eventlog消息太多,看起来太杂乱。 0x01 思路 在cs中有一个内置的cna脚本叫做default.cna。这个脚本可以在cs官网上下载。 我注意到其中有一个名为BEACON_SBAR_LEFT的设.
0x03-逆向-BoF基础的基础
0pr
06-04 1085
目录 今日目标 深入 BoF BoF 的前世今生 BoF 的种类 BoF 的应对策略 物理寻址的应用 找到 Boot Sector 在内存中的前两个字节的位置 寄存器 寄存器的种类 通用寄存器 段寄存器 指针寄存器 索引寄存器 控制寄存器 段和段寄存器小结 完成任务 程序拆解及必要汇编指令 org 指令 jmp 指令 times 指令 pusha popa 指令 条件控制指令 其他必要的汇编指令 总结 参考链接 今日目标 今天细看了一下 narnia2(不知道这是什
轻松学会cobalt strike插件开发
qq_37561898的博客
11-18 644
的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部Beacon API调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。跟RDI一样关于BOFCS也提供了相关的文档进行解释和开发介绍BOF C API。
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值