3.Cobaltstrike Beacon与菜单栏、视图
一、Beacon详解
右键目标interact来使用Beacon,可以用它来执行各种命令
在Cobalt Strike中它的心跳默认是60s(执行一个命令你需要等待60秒后返回。因为每一分钟目标主机与teamserver通信一
次)这是你的操作就很郁闷了。Cobalt Strike设置3秒真男人
sleep 3
二、Cobalt Strike多种beacon
- 1、http beacon和tcp beacon这两种beacon都是比较普通的,两者区别只是主机与teamserver的通信协议不同而已。
- 2、SMB beacon
官方介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。 - 因为链接通讯的Beacons使用Windows pipe进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,可以绕一些防火墙*
这张图很好的诠释了SMB beacon的工作流程
- 3、smb beacon使用
这种beacon要求具有SMB Beacon的主机必须接受端口445上的连接. 派生一个SMB Beacon方法:
在Listner生成SMB Beacon>目标主机>右键> spawn as>选中对应的Listener>上线
或在beacon中使用命令spawn SMB Beacon(SMB Beacon为我的SMB Beacon listener名字)
运行成功后外部可以看到∞∞这个字符,这就是派生的SMB Beacon。
当前是连接状态,你可以Beacon上用link命令链接他或者unlink 命令断开它。
这种beacon在内网横向渗透中运用的很多,横向渗透这里暂时不提。
可以使用ipc $等将生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直
接上线的,需要我们自己用链接命令(link)去 - 4、SMB Beacon使用案例
- 使用psexec来登录,这里使用SMB Beacon listener、选着子Beacon
