#Cobalt Strike新增了几种上线方式
介绍:Staged 和 Stageless 的区别. 前者的实际功能只是和 C2 建立连接并接收 Payload, 然后加载执行, 而 Stageless 直接省去了接收 Payload 的步骤. Stageless 生成除了的 Payload 都会比 Staged 类型的要大很多, 而且包含了特征明细
一.windows/beacon_smb/bind_pipe
命名管道通过父Beacon进行通信,上线方式走的是 SMB 协议, 正向连接, 目标机器必须开启 445 端口, 同时利用命名管道来执行命令,在Attacks - > Packages - > Windows Executable(Stageless )这里支持导出该类型listener对应的可执行文件或者dll等。配合可执行文件使用的命令是link和unlink,目标机器那边运行完可执行文件在跳板机这边link过去,目标机器就可以上线。或通过psexec横向移动选择windows/beacon_smb/bind_pipe上线
beacon_smb有两个命令unlink会直接把目标IP刚刚通过smb上线的会话全部断开,不过link这个IP两次仍然可以把两个会话都link回来。通过可执行文件上线的会话,unlink之后beacon进程并没有退出,link一次会重新连接上线。通过psexec上线的system权限会话也可以通过同样的命令link回来。
二.windows/beacon_tcp/bind_tcp
bind_tcp(仅与父 Beacon 通信)是"TCP套接字通过父信标进行通信",Attacks -> Packages -> Windows Executable (Stageless )这里同样可以生成对应的beacon payload。命令格式同smb相似,不过此处连接目标IP的命令不是link,而是connect。取消连接目标机器的话对应的命令与smb同为unlink,创建lisenter端口默认写死4444端口再改也没用
unlink以后,beacon进程随之也会被退出这就是和smb_beacon不同之处
三.windows/beacon_reverse_tcp
添加windows/beacon_reverse_tcp右键单击被控机器在 [beacon] -> Pivoting -> Listener
Attacks - > Packages - > Windows Executable(Stageless )生成beacon
创建完成后beacon会执行一条命令rportfwd 4444 windows/beacon_reverse_tcp
unlink以后,进程会直接退出。
