内网渗透神器CobaltStrike之Beacon详解(三)

Beacon的种类

HTTP Beacon和HTTPS Beacon

这两个beacon的原理是通过发送http请求与受害主机通信来传达命令, 以此实现控制效果

优点是传输数据快, 缺点时隐蔽性差, 容易被防火墙或内网审计工具拦截

TCP Beacon

自CS4.0版本之后只有反向的TCP Beacon可用, 基于TCP协议的通信方式

SMB Beacon

SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。

因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效

在CS会话列表选择一个beacon作为父beacon, 然后派生一个SMB Beacon作为子Beacon: Beacon>目标主机>右键> spawn as>选中对应的Listener, 随后会话列表显示SMB Beacon

若想将两个beacon断开链接, 可在父级Beacon执行unlink 目标IP命令, 随后在CS视图界面可以发现两个beacon已经断开链接

若想重新链接可在父级Beacon执行link 目标IP命令

DNS Beacon

DNS Beacon是实用性最强的Beacon, 隐蔽性高, 后续我会单独出一篇文章来详解它的原理和使用

beacon常用命令

beacon命令	描述
cancel	取消正在进行的下载
cd	切换目录
clear	清空beacon的任务
connect	beacon会话连接
cp	复制文件
desktop	远程VNC(桌面)
download	下载文件
downloads	列出正在下载的文件
elevate	尝试提权
exit	退出beacon
getsystem	尝试获取system权限
getuid	获取用户id
hashdump	转储密码哈希值
help	查询帮助
jobkill	删除一个beacon任务
jobs	列出beacon任务
keylogger	键盘记录
kill	结束进程
ls	列出当前目录的所有文件
mimikatz	运行mimikatz
mkdir	创建一个目录
mode dns	使用Dns A作为通信通道(仅限 DNS Beacon)
mode dns-txt	使用DNS TXT作为通信通道(仅限 DNS Beacon)
mode dns6	使用DNS 6作为通信通道(仅限 DNS Beacon)
mv	移动文件
portscan	端口扫描
ps	列出进程列表
powershell	执行powershell命令
powershell-import	导入powershell脚本
net	执行net命令
pwd	列出当前

常用攻击模块

设置通信延时

例如此处设置CS服务器与受害机每隔30秒进行一次通信

键盘记录

在受害机的beacon命令行输入: keylogger

在受害机随便敲下键盘, 返回CS客户端查看其键盘记录

若想关闭查看键盘记录,可使用jobs和jobkill命令进行关闭, 先使用jobs命令查看beacon任务列表, 然后用jobkill命令关闭对应JID的任务

文件管理

对受害机的文件进行相应操作, 不过有些特殊文件可能需要更高级别的权限才能操作

查看系统进程

端口扫描

选择要扫描的端口、ip网段、扫描模式

beacon命令行返回ip网段存活主机以及其开放的端口

远程桌面

远程VNC即查看受害机的远程桌面