#Cobalt Strike新增了幾種上線方式
介紹:Staged 和 Stageless 的區別. 前者的實際功能只是和 C2 建立連接並接收 Payload, 然后加載執行, 而 Stageless 直接省去了接收 Payload 的步驟. Stageless 生成除了的 Payload 都會比 Staged 類型的要大很多, 而且包含了特征明細
一.windows/beacon_smb/bind_pipe
命名管道通過父Beacon進行通信,上線方式走的是 SMB 協議, 正向連接, 目標機器必須開啟 445 端口, 同時利用命名管道來執行命令,在Attacks - > Packages - > Windows Executable(Stageless )這里支持導出該類型listener對應的可執行文件或者dll等。配合可執行文件使用的命令是link和unlink,目標機器那邊運行完可執行文件在跳板機這邊link過去,目標機器就可以上線。或通過psexec橫向移動選擇windows/beacon_smb/bind_pipe上線
beacon_smb有兩個命令unlink會直接把目標IP剛剛通過smb上線的會話全部斷開,不過link這個IP兩次仍然可以把兩個會話都link回來。通過可執行文件上線的會話,unlink之后beacon進程並沒有退出,link一次會重新連接上線。通過psexec上線的system權限會話也可以通過同樣的命令link回來。
二.windows/beacon_tcp/bind_tcp
bind_tcp(僅與父 Beacon 通信)是"TCP套接字通過父信標進行通信",Attacks -> Packages -> Windows Executable (Stageless )這里同樣可以生成對應的beacon payload。命令格式同smb相似,不過此處連接目標IP的命令不是link,而是connect。取消連接目標機器的話對應的命令與smb同為unlink,創建lisenter端口默認寫死4444端口再改也沒用
unlink以后,beacon進程隨之也會被退出這就是和smb_beacon不同之處
三.windows/beacon_reverse_tcp
添加windows/beacon_reverse_tcp右鍵單擊被控機器在 [beacon] -> Pivoting -> Listener
Attacks - > Packages - > Windows Executable(Stageless )生成beacon
創建完成后beacon會執行一條命令rportfwd 4444 windows/beacon_reverse_tcp
unlink以后,進程會直接退出。
