cobalt strike各种beacon的详解（http/https/tcp）

Beacon

从Cobalt strike4.0开始就只有这几种beacon，一般情况下想要得到beacon就先得创建对应的listener，之后根据创建好的listener生成木马文件，文件运行后返回对应的beacon，至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。

附录 beacon与c2通信逻辑
1.stager的beacon会先下载完整的payload执行，stage则省略这一步
2.beacon进入睡眠状态，结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profi
e文件里的http-get模块进行自定义),metadata内容大概是目标系统的版本，当前用户等信息。
3.如果存在待执行的任务，则c2会响应这个metadata发布命令。beacon将会收到具体任务内容与一个任务id。
4.执行完毕后beacon将回显数据与任务id用post方式发送回C2(细节可以在malleable_profile文件中的http-post部分进行自定义)，然后又会回到睡眠状态。

其他相关问题可以看cobalt strike中的一些小知识点的理解

不同的监听方式会生成不同的beacon，本文就对这些不同的beacon进行讲解，后面还会有文章分析各种beacon的流量有什么区别。

---

http beacon

创建listener

一般情况下，只需要填Http Host(Stager)与Http Host和Http port(C2)就够了，前两个值一般相同，是你自己C2的域名或者ip，第三个值是你的监听端口。
后面的Bind是绑定web服务的端口，一般在使用重定向技术的时候会用到(例如接收来自80端口的连接，但是将连接重定向到另一个端口，这个跟利用C2重定向技术隐藏teamserver)不一样。http host header是在使用域前置技术的时候可能会用到。

原理

利用http请求来进行通信来向受害主机传达命令，达到控制对方主机的目的。缺点是明文传输。

---

https beacon

创建listener

创建方法与http beacon完全一致，其实熟悉http与https区别的人可能更容易理解这两种不同beacon的区别。

原理

只是增加了加密传输，其余跟http完全相同。

附录
https通信原理
https是http+ssl，利用非对称密钥加密实现数据传输安全。为了同时保证通信过程的安全性与可用性，HTTPS选择了折中的方案，即使用非对称加密算法加密对称加密算法的密钥，有点绕，可以看下图了解工作过程。主要解决身份认证问题与明文传输问题。

1. 浏览器请求HTTPS网站，同时携带浏览器支持的加密算法类型
2. 服务器接到请求，确定加密算法；
3. 服务器将数字证书反馈之浏览器；
4. 浏览器认证数字证书，并生会话密钥R（对称加密），使用服务器公钥将会话密钥加密；
5. 浏览器将密文发送至服务器；
6. 服务器使用私钥进行解密得到会话密钥R；
7. 服务器使用会话密钥R将网页内容反馈之浏览器；
8. 浏览器使用会话密钥R解密，获得网页内容

---

tcp listener

cs4.0之后，只有正向的tcp listener了，这个技术不适用于作为第一个木马来用，反而很适合在内网穿透的时候去使用，且在内网穿透的时候一般只能使用tcp beacon去生成木马(cs生成的pivot listener上只有tcp beacon这一个选项)。

创建方法

为什么tcp与http不适合作为第一个木马来使用呢？其实原因很简单，因为他们都是明文流量，容易被发现，先以第一个比较隐蔽的木马进入目标系统后关闭一些防御措施，然后再用普通的木马上效果就比较好。

---

以上三种是比较易于理解的beacon。一些比较特殊的beacon例如smb，dns，external，foreign等，由于篇幅原因，我会在下面的文章中讲解，方便大家循序渐进的学习。

dns与smb beacon详解与一种内网穿透方法的实践
external c2的用途与理解
Foreign Beacon与CS跟MSF之间的会话派发与ssh端口转发
cs木马流量分析