#Cobalt Strike新增了几种上线方式windows
介绍:Staged 和 Stageless 的区别. 前者的实际功能只是和 C2 创建链接并接收 Payload, 而后加载执行, 而 Stageless 直接省去了接收 Payload 的步骤. Stageless 生成除了的 Payload 都会比 Staged 类型的要大不少, 并且包含了特征明细less
一.windows/beacon_smb/bind_pipetcp
命名管道经过父Beacon进行通讯,上线方式走的是 SMB 协议, 正向链接, 目标机器必须开启 445 端口, 同时利用命名管道来执行命令,在Attacks - > Packages - > Windows Executable(Stageless )这里支持导出该类型listener对应的可执行文件或者dll等。配合可执行文件使用的命令是link和unlink,目标机器那边运行完可执行文件在跳板机这边link过去,目标机器就能够上线。或经过psexec横向移动选择windows/beacon_smb/bind_pipe上线spa
beacon_smb有两个命令unlink会直接把目标IP刚刚经过smb上线的会话所有断开,不过link这个IP两次仍然能够把两个会话都link回来。经过可执行文件上线的会话,unlink以后beacon进程并无退出,link一次会从新链接上线。经过psexec上线的system权限会话也能够经过一样的命令link回来。3d
二.windows/beacon_tcp/bind_tcpblog
bind_tcp(仅与父 Beacon 通讯)是"TCP套接字经过父信标进行通讯",Attacks -> Packages -> Windows Executable (Stageless )这里一样能够生成对应的beacon payload。命令格式同smb类似,不过此处链接目标IP的命令不是link,而是connect。取消链接目标机器的话对应的命令与smb同为unlink,建立lisenter端口默认写死4444端口再改也没用进程
unlink之后,beacon进程随之也会被退出这就是和smb_beacon不一样之处ip
三.windows/beacon_reverse_tcppip
添加windows/beacon_reverse_tcp右键单击被控机器在 [beacon] -> Pivoting -> Listenertable
Attacks - > Packages - > Windows Executable(Stageless )生成beacon
建立完成后beacon会执行一条命令rportfwd 4444 windows/beacon_reverse_tcp
unlink之后,进程会直接退出。