cobalt strike各种beacon的详解(http/https/tcp)

时间:2024-01-30 10:56:58

Beacon

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OMkO0xT4-1596708552606)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p80)]

从Cobalt strike4.0开始就只有这几种beacon,一般情况下想要得到beacon就先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。

附录 beacon与c2通信逻辑
1.stager的beacon会先下载完整的payload执行,stage则省略这一步
2.beacon进入睡眠状态,结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profi
e文件里的http-get模块进行自定义),metadata内容大概是目标系统的版本,当前用户等信息。
3.如果存在待执行的任务,则c2会响应这个metadata发布命令。beacon将会收到具体任务内容与一个任务id。
4.执行完毕后beacon将回显数据与任务id用post方式发送回C2(细节可以在malleable_profile文件中的http-post部分进行自定义),然后又会回到睡眠状态。

其他相关问题可以看cobalt strike中的一些小知识点的理解

不同的监听方式会生成不同的beacon,本文就对这些不同的beacon进行讲解,后面还会有文章分析各种beacon的流量有什么区别。


http beacon

创建listener

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QD7OUkXT-1596708552611)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p81)]

一般情况下,只需要填Http Host(Stager)与Http Host和Http port(C2)就够了,前两个值一般相同,是你自己C2的域名或者ip,第三个值是你的监听端口。
后面的Bind是绑定web服务的端口,一般在使用重定向技术的时候会用到(例如接收来自80端口的连接,但是将连接重定向到另一个端口,这个跟利用C2重定向技术隐藏teamserver)不一样。http host header是在使用域前置技术的时候可能会用到。

原理

利用http请求来进行通信来向受害主机传达命令,达到控制对方主机的目的。缺点是明文传输。


https beacon

创建listener

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3mWgkNRH-1596708552613)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p82)]

创建方法与http beacon完全一致,其实熟悉http与https区别的人可能更容易理解这两种不同beacon的区别。

原理

只是增加了加密传输,其余跟http完全相同。

附录
https通信原理
https是http+ssl,利用非对称**加密实现数据传输安全。为了同时保证通信过程的安全性与可用性,HTTPS选择了折中的方案,即使用非对称加密算法加密对称加密算法的**,有点绕,可以看下图了解工作过程。主要解决身份认证问题与明文传输问题。

  1. 浏览器请求HTTPS网站,同时携带浏览器支持的加密算法类型
  2. 服务器接到请求,确定加密算法;
  3. 服务器将数字证书反馈之浏览器;
  4. 浏览器认证数字证书,并生会话**R(对称加密),使用服务器公钥将会话**加密;
  5. 浏览器将密文发送至服务器;
  6. 服务器使用私钥进行解密得到会话**R;
  7. 服务器使用会话**R将网页内容反馈之浏览器;
  8. 浏览器使用会话**R解密,获得网页内容

tcp listener

cs4.0之后,只有正向的tcp listener了,这个技术不适用于作为第一个木马来用,反而很适合在内网穿透的时候去使用,且在内网穿透的时候一般只能使用tcp beacon去生成木马(cs生成的pivot listener上只有tcp beacon这一个选项)。

创建方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hHP2rP3d-1596708552616)(evernotecid://90B54479-F8FA-4F06-9F90-73E6593C6866/appyinxiangcom/27458002/ENResource/p132)]

为什么tcp与http不适合作为第一个木马来使用呢?其实原因很简单,因为他们都是明文流量,容易被发现,先以第一个比较隐蔽的木马进入目标系统后关闭一些防御措施,然后再用普通的木马上效果就比较好。


以上三种是比较易于理解的beacon。一些比较特殊的beacon例如smb,dns,external,foreign等,由于篇幅原因,我会在下面的文章中讲解,方便大家循序渐进的学习。

dns与smb beacon详解与一种内网穿透方法的实践
external c2的用途与理解
Foreign Beacon与CS跟MSF之间的会话派发与ssh端口转发
cs木马流量分析