红队专题-Cobalt strike4.5二次开发

红队专题

  • 招募六边形战士队员
  • IDEA 自动换行
  • 原版CS反编译破解
    • jar包反编译
    • 拔掉暗桩
    • 初始环境效果
  • stageless beacon http通信协议 过程分析
    • 上线&心跳get请求
    • teamserver 处理请求
  • 参考链接

招募六边形战士队员

一起学习 代码审计、安全开发、web攻防、逆向等。。。
私信联系
在这里插入图片描述

IDEA 自动换行

File->【Settings】
*.md; *.txt; *.rst; .adoc;.java
在这里插入图片描述

原版CS反编译破解

jar包反编译

 
CobaltStrike二次开发环境初探CobaltStrike 4.5原版 202251日 发布 + 破解及汉化加载4.3 及之前版本的暴力替换class文件的破解方法失效   IntelliJ IDEA自带了一个反编译java的工具  
IntelliJ IDEA安装目录/plugins/java-decompiler.jar对cobaltstrike的整个jar 包进行反编译
org/jetbrains/java/decompiler/main/decompiler/ 
org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler 提供反编译的这个类。因为没MANIFEST.MF中没有main class 属性,没有指定主类,
因此不能直接 使用 java -jar
如果 想要执行 java包中具体的类,要 使用 javacp输入如下命令:java -cp 命令中 cp 指的就是 classpath。
使用该命令可以运行jar中的某个指定的测试类 使用方法 Java -cp 依赖jar或者是依赖jar库新建两个文件
cs_bin里面放未反编译的cobaltstrike.jar 
再建一个CS_source_decompiler_src 文件,这个是空文件,是为了之后放反编译后的cobaltstrikejava -cp "D:\ideaIU-2018.1.1.win\plugins\java-decompiler\lib\java-decompiler.jar" org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler  -dsg=true cobaltstrike.jar G:\code\Saft_Code\CS_source_decompiler_src  反编译后,会自动打包成jar包,右键解压后打开可以看到都是.java了,
使用这个方法会非常方便,就不需要第三方工具,这个反编译出来的接放入就可以直接放到 IDEA中,
可直接实现代码搜索,相关的交叉引用。 IDEA 创建一个默认项目,然后创建一个对应的
decompile目录,将反编译的java源代码都放进去 

在这里插入图片描述


lib目录将的cobaltstrike.jar(这个jar是未反编译的jar包),放进去 
cobaltstrike.auth 也是将decompile/aggressor.Aggressor.java 复制到src/aggressor.Aggressor.java
右键 make Directory as  Source Root

在这里插入图片描述
在这里插入图片描述


并且将该jar包导入到依赖库中    设置依赖关系
file-->project Structure  
modules dependencies选择lib目录下面的文件,确保是Compile  打勾点击apply  Artifacts--->jar--->from modules with dependencies   MainClass
去新建一个Main Class Aggressor.Aggressor
名字可以在lib---->cs.jar---->meta-inf---->menifest.mf中找到
这样子可以使用菜单栏的Build里面Build Arifact进行jar打包了。结果会在out文件夹里里面。
启动文件使用打包的jar即可。JAR Application
设置对应的VM option为 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M  
-XX:ParallelGCThreads=4  -XX:+AggressiveHeap -XX:+UseParallelGC加入测试语句
JOptionPane.showMessageDialog(null,"hello world!!!");参考资料
https://www.modb.pro/db/532313
https://cloud.tencent.com/developer/article/1808082服务端搭建  
再将decompile目录中的server.TeamServer类复制一份到src目录中  打包有问题src META-INF  MANIFEST.MF 复制E:\hack\conn\CobaltStrike\cobaltstrike.auth
E:\hack\conn\CobaltStrike\cobaltstrike.store 
-Djavax.net.ssl.keyStorePassword=123456设置对应的VM option为 -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=50050 -Djavax.net.ssl.keyStore=D:\ALL\javaidea\cs_disassemably\lib\google.store -Djavax.net.ssl.keyStorePassword=google -server -XX:+AggressiveHeap -XX:+UseParallelGC  注意:其中google.store可以是自己生成的ssl证书  https://www.cnblogs.com/haidragon/p/16852315.html  https://github.com/jas502n/cs-agent  

拔掉暗桩

采用全局搜索The Cobalt Strike Team Server process cannot be started with a javaagent
The Cobalt Strike Client process cannot be started with a javaagent.
[-] Your authorization file is not valid: pre-4.0 authorization file. Run update to get new fileCommonUtils.print_error 
Requirements.checkGUI()->common.requirements
//aming_changebeacon/BeaconData中将shouldPad方法的值固定为false:common/Helper增加.class判断public final boolean startHelper(Class var1)断点修改
common->class Authorization->
License-> checkLicenseGUI->JOptionPane.showMessageDialog ->showMessageDialog ->showOptionDialog ->dialog.show()super.initializeStarter->common.starter->starter2dialogs->public ConnectDialog(MultiFrame var1)JFrame var3 = DialogUtils.dialog("Connect", 640, 480);A Cobalt Strike team server is not available onthe specified host and port. You must start aCobalt Strike team server first
G:\code\Saft_Code\CobaltStrike_debug\out\artifacts\CobaltStrike_debug_jar\teamserver.bat 192.168.31.19 Msr010527browsers.public class Connect->public void dialogAction->
common->TeamSocket->public class TeamQueue->this.tqueue.call("aggressor.authenticate"var2.dialogAction(var1x, DialogManager.this.options);dialogs.ConnectDialog->
DialogManager.B((JComponent)var1x.getSource(), true)private static void B(final JComponent var0, final boolean var1) {CommonUtils.runSafe(new Runnable() {public void run() {var0.setEnabled(var1);}});}commonUtils-> public static void runSafe调试中断
[!] Trapped java.net.SocketTimeoutException during client (192.168.31.19) read [TeamQueue Reader]: Read timed out参考文章https://www.yii666.com/blog/355849.html
http://www.taodudu.cc/news/show-4636865.html?action=onClick

初始环境效果

在这里插入图片描述

stageless beacon http通信协议 过程分析

为了看cs 各个功能实现 以及具体的通信包结构以便自己实现beacon。

rsa 公私钥
序列化存储在.cobaltstrike.beacon_keys 里

上线&心跳get请求

beacon 上线第一个请求就是一个带有metadata 信息的get包
然后服务端再返回一个没内容的响应包。
在这里插入图片描述

默认这个metadata 信息是用rsa 公钥加密放在cookie 里的,
这个行为的在profile 文件的http-get.client.metadata 里定义。

后续的心跳请求也是这个,

如果服务端有命令要下发给beacon执行 就是通过心跳请求的响应包来传递。

teamserver 处理请求

teamserver 的NanoHTTPD -> run方法在获取到请求后传给WebServer.serve,

最终请求信息传递给WebServer._serve 来处理请求信息。

_serve 方法先检测User-Agent是否在黑名单里
在就把blockedByUA 设置为true,

然后又检查ua 是否在白名单里,
如果有设置白名单并且没有匹配到的话就把allowedByUA 设置我false,
在这里插入图片描述
allowedByUA默认为true。

      boolean allowedByUA = true;String hook;if (this.allowedUAArray.length > 0) {allowedByUA = false;String[] arr$ = this.allowedUAArray;len$ = arr$.length;for(int i$ = 0; i$ < len$; ++i$) {hook = arr$[i$];if (hook.trim().length() > 0 && CSUtils.matchesSimpleGeneric(useragent, hook.trim())) {allowedByUA = true;}}}

只有当满足 allowedByUA && !blockedByUA 条件时才继续执行函数,
否则就在控制台提示然后返回404
在这里插入图片描述

黑白名单的ua 可以在profile的http-config 中配置,
curl/lynx/wget* 是默认黑名单

下一步就是判断请求方法是不是OPTIONS ,
是就返回200 和允许的方法
在这里插入图片描述再往下就是之前爆出的路径不规范泄露stager信息漏洞的地方,

这里看this.hooks里的内容如果直接传入一个类似GET stager HTTP/1.1,
这样的请求头就会泄露stager信息
在这里插入图片描述
在这里插入图片描述

参考链接

cobaltstrike4.5 stageless beacon 通信分析
https://mp.weixin.qq.com/s/xhRvAEFftmNEW97uW5BNOQ

http whoami
https://github.com/l3anma/cobaltstrike4.5_http_dec

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/129965.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ 获取文件创建时间、修改时间、大小等属性

简介 获取文件创建时间、修改时间、大小等属性 代码 #include <iostream> #include <string.h> #include <time.h>void main() {std::string filename "E:\\LiHai123.txt";struct _stat stat_buffer;int result _stat(filename.c_str(), &s…

XLSX.utils.sheet_to_json()解析excel,给空的单元格赋值为空字符串

前言 今天用到XLSX来解析excel文件&#xff0c;调用XLSX.utils.sheet_to_json(worksheet)&#xff0c;发现如果单元格为空的话&#xff0c;解析出来的结果&#xff0c;就会缺少相应的key&#xff08;如图所示&#xff09;。但是我想要单元格为空的话&#xff0c;值就默认给空字…

skywalking功能介绍

目标 前置&#xff1a;性能监控-微服务链路追踪skywalking搭建-CSDN博客 使用skywalking进行链路监控&#xff0c;找到应用的时间消耗再哪。 服务 服务信息 请求接口后查看skywalking&#xff0c;可以看到有一个请求&#xff0c;响应时间为1852ms&#xff0c;性能指数Apdex…

一文3000字从0到1使用pytest-xdist实现分布式APP自动化测试

目录 01、分布式测试的原理 02、测试项目 03、环境准备 04、搭建步骤 05、分布式执行 06、测试报告 不知道大家有没有遇到这样一种情况&#xff0c;实际工作中&#xff0c;app自动化测试的用例可能是成百上千条的&#xff0c;如果放在一台机器上跑&#xff0c;消耗的时间…

[CISCN2019 总决赛 Day2 Web1]Easyweb 盲注 \\0绕过 文件上传文件名木马

首先开局登入 我们开始目录扫描 扫除 robots.txt 现在只有三个文件 最后发现 只有 image.php.bak存在 这里主要的地方是 \\0 因为第一个\会被转义 这里就会变为 \0 表示空白 那我们sql语句就会变为了 select * from images where id\0 但是这里我们不可以使用 \\ 因为…

模拟pdf运行js脚本触发xss攻击及防攻击

一、引入pdfbox依赖 <dependency><groupId>org.apache.pdfbox</groupId><artifactId>pdfbox</artifactId><version>3.0.0</version> </dependency> 二、生成一个带js脚本的pdf文件 //Creating PDF document object PDDocum…

[NewStarCTF 2023 公开赛道] week1 Crypto

brainfuck 题目描述&#xff1a; [>>>>>>>>>>>>>>>><<<<<<<<<<<<<<<<-]>>>>>>>.>----.<-----.>-----.>-----.<<<-.>>..…

【Oracle】Oracle系列十九--Oracle的体系结构

文章目录 往期回顾前言1. 物理结构2. 内存结构2.1 SGA2.2 后台进程 3. 逻辑结构 往期回顾 【Oracle】Oracle系列之一–Oracle数据类型 【Oracle】Oracle系列之二–Oracle数据字典 【Oracle】Oracle系列之三–Oracle字符集 【Oracle】Oracle系列之四–用户管理 【Oracle】Or…

centos7 配置coreboot编译环境 以及编译问题解决

需要的配置 (有的资源在国外可能需要翻墙) 操作系统: centos7.9 参考文章 coreboot源码分析之编译和运行coreboot - 知乎 //coreboot编译总说明 https://www.coreboot.org/Build_HOWTO#Requirements https://poe.com/ChatGPT 注意: 因为github不稳定 所以gitee为主 1. 下载…

Transformer预测 | Python实现基于Transformer的股票价格预测(tensorflow)

文章目录 效果一览文章概述程序设计参考资料效果一览 文章概述 Transformer预测 | Python实现基于Transformer的股票价格预测(tensorflow) 程序设计 import numpy as np import matplotlib.pyplot

SpringBoot 实现EMQ设备的上下线告警

前言 上下线通知 我遇到了一个难题&#xff0c;即在使用EMQ X 4.4.10的开源版本时&#xff0c;我需要实现设备的上下线状态监控&#xff0c;但该4.4.10开源版本并未内置设备上下线提醒模块&#xff0c;只有企业版才内置了该模块。这为我带来了一些技术上的难题&#xff0c;迫…

记录宝塔面板申请ssl证书报错 Invalid version. The only valid version for X509Req is 0

问题 宝塔面板申请ssl证书报错 Invalid version. The only valid version for X509Req is 0。 原因是由于服务器端使用了不兼容的 OpenSSL 版本导致的&#xff0c;服务器端的X509Req 版本只支持 0&#xff0c;而宝塔这边默认的版本为2。 我的是之前可以申请ssl&#xff0c;过…