#Cobalt Strike新增了幾種上線方式windows
介紹:Staged 和 Stageless 的區別. 前者的實際功能只是和 C2 創建鏈接並接收 Payload, 而後加載執行, 而 Stageless 直接省去了接收 Payload 的步驟. Stageless 生成除了的 Payload 都會比 Staged 類型的要大不少, 並且包含了特徵明細less
一.windows/beacon_smb/bind_pipetcp
命名管道經過父Beacon進行通訊,上線方式走的是 SMB 協議, 正向鏈接, 目標機器必須開啓 445 端口, 同時利用命名管道來執行命令,在Attacks - > Packages - > Windows Executable(Stageless )這裏支持導出該類型listener對應的可執行文件或者dll等。配合可執行文件使用的命令是link和unlink,目標機器那邊運行完可執行文件在跳板機這邊link過去,目標機器就能夠上線。或經過psexec橫向移動選擇windows/beacon_smb/bind_pipe上線spa
beacon_smb有兩個命令unlink會直接把目標IP剛剛經過smb上線的會話所有斷開,不過link這個IP兩次仍然能夠把兩個會話都link回來。經過可執行文件上線的會話,unlink以後beacon進程並無退出,link一次會從新鏈接上線。經過psexec上線的system權限會話也能夠經過一樣的命令link回來。3d
二.windows/beacon_tcp/bind_tcpblog
bind_tcp(僅與父 Beacon 通訊)是"TCP套接字經過父信標進行通訊",Attacks -> Packages -> Windows Executable (Stageless )這裏一樣能夠生成對應的beacon payload。命令格式同smb類似,不過此處鏈接目標IP的命令不是link,而是connect。取消鏈接目標機器的話對應的命令與smb同爲unlink,建立lisenter端口默認寫死4444端口再改也沒用進程
unlink之後,beacon進程隨之也會被退出這就是和smb_beacon不一樣之處ip
三.windows/beacon_reverse_tcppip
添加windows/beacon_reverse_tcp右鍵單擊被控機器在 [beacon] -> Pivoting -> Listenertable
Attacks - > Packages - > Windows Executable(Stageless )生成beacon
建立完成後beacon會執行一條命令rportfwd 4444 windows/beacon_reverse_tcp
unlink之後,進程會直接退出。