概述: Cobalt Strike Beacon 模块整理
Beacon
Beacon 被设计的最初目的就是向其他的 CS 监听器传递会话。
-
spawn:进行会话的传递,也可直接右击会话选择
spawn命令进行会话的选择。默认情况下,spawn命令会在rundll32.exe中派生一个会话。为了更好的隐蔽性,可以找到更合适的程序(如 Internet Explorer) 并使用 spawnto 命令来说明在派生新会话时候会使用Beacon中的哪个程序 -
spawnto:该命令会要求指明架构(x86 还是 x64)和用于派生会话的程序的完整路径。单独输入
spawnto命令然后按 enter 会指示Beacon恢复至其默认行为 -
inject:
输入inject + 进程 id + 监听器名来把一个会话注入一个特定的进程中。使用 ps 命令来获取一个当前系统上的进程列表。使用inject [pid] x64来将一个 64 位 Beacon 注入到一个 64 位进程中
spawn 和 inject 命令都将一个 payload stage 注入进内存中。如果 payload stage 是 HTTP、HTTPS 或 DNS Beacon 并且它无法连接到你,那么将看不到一个会话。如果 payload stage 是一个绑定的 TCP 或 SMB 的 Beacon,这些命令会自动地尝试连接到并控制这些 payload。
-
dllinject:
dllinject + [pid]来将一个反射性 DLL 注入到一个进程中 -
shinject:
使用shinject [pid] [架构] [/路径/.../file.bin]命令来从一个本地文件中注入shellcode到一个目标上的进程中。 -
shspawn:
使用shspawn [架构] [/路径/.../file.bin]命令会先派生一个新进程(这个新进程是 spawn to 命令指定的可执行文件),然后把指定的 shellcode 文件( file.bin )注入到这个进程中 -
dllload:
使用dllload [pid] [c:\路径\...\file.dll]来在另一个进程中加载磁盘上的 DLL 文件