cobalt strike各种beacon的详解(http/https/tcp)
BeaconCobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。附录 beacon与c2通信逻辑1.stager的beacon会先下载完整的payloa
Beacon
从Cobalt strike4.0开始就只有这几种beacon,一般情况下想要得到beacon就先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。
附录 beacon与c2通信逻辑
1.stager的beacon会先下载完整的payload执行,stage则省略这一步
2.beacon进入睡眠状态,结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profi
e文件里的http-get模块进行自定义),metadata内容大概是目标系统的版本,当前用户等信息。
3.如果存在待执行的任务,则c2会响应这个metadata发布命令。beacon将会收到具体任务内容与一个任务id。
4.执行完毕后beacon将回显数据与任务id用post方式发送回C2(细节可以在malleable_profile文件中的http-post部分进行自定义),然后又会回到睡眠状态。其他相关问题可以看cobalt strike中的一些小知识点的理解
不同的监听方式会生成不同的beacon,本文就对这些不同的beacon进行讲解,后面还会有文章分析各种beacon的流量有什么区别。
http beacon
创建listener
一般情况下,只需要填Http Host(Stager)与Http Host和Http port(C2)就够了,前两个值一般相同,是你自己C2的域名或者ip,第三个值是你的监听端口。
后面的Bind是绑定web服务的端口,一般在使用重定向技术的时候会用到(例如接收来自80端口的连接,但是将连接重定向到另一个端口,这个跟利用C2重定向技术隐藏teamserver)不一样。http host header是在使用域前置技术的时候可能会用到。
原理
利用http请求来进行通信来向受害主机传达命令,达到控制对方主机的目的。缺点是明文传输。
https beacon
创建listener
创建方法与http beacon完全一致,其实熟悉http与https区别的人可能更容易理解这两种不同beacon的区别。
原理
只是增加了加密传输,其余跟http完全相同。
附录
https通信原理
https是http+ssl,利用非对称密钥加密实现数据传输安全。为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的密钥,有点绕,下列步骤即为https的认证步骤。https主要解决身份认证问题与明文传输问题。
- 浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型
- 服务器接到请求,确定加密算法;
- 服务器将数字证书反馈之浏览器;
- 浏览器认证数字证书,并生会话密钥R(对称加密),使用服务器公钥将会话密钥加密;
- 浏览器将密文发送至服务器;
- 服务器使用私钥进行解密得到会话密钥R;
- 服务器使用会话密钥R将网页内容反馈之浏览器;
- 浏览器使用会话密钥R解密,获得网页内容
tcp listener
cs4.0之后,只有正向的tcp listener了,这个技术不适用于作为第一个木马来用,反而很适合在内网穿透的时候去使用,且在内网穿透的时候一般只能使用tcp beacon去生成木马(cs生成的pivot listener上只有tcp beacon这一个选项)。
创建方法
为什么tcp与http不适合作为第一个木马来使用呢?其实原因很简单,因为他们都是明文流量,容易被发现,先以第一个比较隐蔽的木马进入目标系统后关闭一些防御措施,然后再用普通的木马上效果就比较好。
以上三种是比较易于理解的beacon。一些比较特殊的beacon例如smb,dns,external,foreign等,由于篇幅原因,我会在下面的文章中讲解,方便大家循序渐进的学习。
dns与smb beacon详解与一种内网穿透方法的实践
external c2的用途与理解
Foreign Beacon与CS跟MSF之间的会话派发与ssh端口转发
cs木马流量分析
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)