- 2024-11-04【Cobalt Strike】 Beacon 通讯协议分析
原创cxccbackdoor元数据上报数据包格式+-----------------+-----------------+-----------------+-----------------+-------------------+-----------------+|固定开头(4B)|数据长度(4B)|AES密钥(16B)|编码1(2B)|编码2(2B)|会话ID(4
- 2024-10-11网络信标(Web Beacon)滥用会产生的结果(非技术研讨)
这篇文章是怎么来的?自从Youdao客户端接入LanguageModels后,我的PC出现了一些不同以往的异常现象,我无法确定是否是它或其他进程导致的,只是将这个宣传较广泛的事件作为一个读者更好理解和代入的时间节点。今天我照常在执行惯用的工作模式,并且每天检查我电脑中的活动程序与进
- 2024-09-28WiFi基础(五):802.11帧结构与WiFi控制帧、管理帧、数据帧
liwen012024.09.22前言前面介绍了WiFi的工作原理和WiFi的接入过程,这里将通过分析WiFi具体数据包结构,让你对WiFi工作原理和接入过程有一个更进一步的了解。前面文章可以通过下面连接查看:《WiFi基础(四):WiFi工作原理及WiFi接入过程》(一)802.11帧802.11无线WiFi
- 2024-07-01Sliver C2 Beacon Stager上线
目录SliverC2简介运行StagerSliverC2简介Sliver是一个开源的跨平台对手仿真/红队框架。它的设计具有可扩展性,可供各种规模的组织用于执行安全测试。Sliver可与CobaltStrike或Metasploit相媲美。Stager在SliverC2中指分阶段执行器,其核心作用在于从C2服务器上下载Sli
- 2024-06-30内网穿透之不出网上线CobaltStrike技巧
目录前言smbbeacon上线tcplistener转发上线http代理上线tcpbeacon正向连接上线题外话—cs和msf的权限传递cs派生给msfmsf派生给cs前言出网or不出网?目标可以正常访问互联网,可直接在目标机挂socks代理或直接CS上线。而更多的情况是,内网中的服务器和主机不通外网,这样通常情
- 2024-06-20CobaltStrike的狩猎与反狩猎
0x01前言 又到了xxx的时间了,在对红队基础设施的准备时写下的这篇文章0x02开始狩猎 CobaltStrike版本:4.9.1不做任何配置启动teamserver使用默认配置的生成x64位beacon,上线pid为30400x021BeaconEye BeaconEye 的核心原理是通过扫描CobaltStrike中的内存特征,并进行Be
- 2024-06-13CS后门源码特征分析与IDS入侵检测
CS后门源码特征分析与IDS入侵检测考核作业上线x64getshell抓心跳包,对特征字符解密Uqd3用java的checksum8算法得到93,说明是x64的木马publicclassEchoTest{publicstaticlongchecksum8(Stringtext){if(text.length()<4){return0L;}text=text.replace("/"
- 2024-05-12实战中内网穿透的打法
前言在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。以下为自我总结“实战中内网穿透的打法”
- 2024-04-08实战中内网穿透的打法
前言在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。以下为自我总结“实战中内网穿透
- 2024-04-06免杀-异常处理_内存波动修改
3x1远程分段加载shellcode+windows异常处理windows异常处理机制利用原理的文章:https://forum.butian.net/share/783异常处理的个人简单理解:我们在上线cs后,cs是默认设置了60秒睡眠的,也就是心跳包机制,这10秒内我们的代码将会被sleep阻塞,60秒后执行命令再次进入睡眠;而我们的代码
- 2024-02-08Sliver C2 实战 vulntarget-f
网络拓扑hostip1ip2ubuntu(自用)192.168.130.14/centos192.168.130.310.0.10.2ubuntu110.0.10.310.0.20.2ubuntu210.0.20.3/信息收集开放了很多端口,优先从web入手。fscan过一遍网站指纹,发现可能可以利用xxe。zimbracmk
- 2023-12-21简单几行实现sliver上线提醒
准备魔改sliver去掉一些特征什么的,这里记录一下最简单实现上线消息通过企业微信机器人提醒的方式,这很简单也有很多不足还需要接着改的protobuf中对消息Beacon和Session的定义如下,要显示的几个信息都是string类型的。最好这里另外写一个消息类型(NotifyMsg),将要显示的消息字
- 2023-12-11Wi-Fi接入和交互流程,以及帧间间隔(IFS: interframe space)
帧间间隔(IFS:interframespace) 1.广播帧beaconframe发送TheAPisperiodicallytransmitting(broadcasting)aspecialsignalcalledBeaconsignalsaying"Iamhere..Iamhere..Iamcapableofthisandthat..etc)". BasicallythisBeaconislike
- 2023-08-13CobaltStrike的使用工具的使用
CobaltStrike的使用目录CobaltStrikeCobaltStrike的安装CobaltStrike的使用创建监听器:创建Attacks:视图View:对被控主机的操作抓取hash和dump明文密码提权(Elevate)利用被控主机建立Socks4代理进程列表(注入进程,键盘监控)生成黄金票据注入当前会话(GoldenTicket)凭证转换(MakeToken
- 2023-08-01构造并发送Beacon帧以伪造任意WiFi热点
请想象一下这样的情景:你可以任意伪造很多个WiFi热点,这个技术只能在linux上使用,而且对无线网卡也有一定的挑剔,具体的下面会讲~阶段一:基本原理首先需要搞清楚的是,手机、电脑等支持WiFi的设备,是如何得知周围无线热点的存在的?无线热点(通常就是无线路由器)会周期性地向外发
- 2023-04-04beacon帧字段结构最全总结(二)——HT字段总结
https://www.cnblogs.com/fengf233/p/10919436.htmlbeacon帧字段结构最全总结(二)——HT字段总结一.HTCapabilitiesHTCapabilities:802.11n的mac层给802.11的mac层加入了高吞吐量单元。所有新加的802.11n功能都是通过管理帧中的HT单元才得以实现,总体如下 抓包中
- 2023-03-10“ZETA+蓝牙BEACON”的资产定位产品方案,解决固定资产管理难题
资产管理是企业管理中的一个重要组成部分。在未来商业竞争中,企业不仅要知道资产的位置、运行状况,还要提升资产的运行效率,这些都催生了企业对资产定位和利用科技提升管理效率
- 2023-03-08CobaltStrike WebServer 4.4 特征分析
WebServer特征本文简单介绍了CobaltStike4.4版本的一些特征以及缓解措施。webserver处理逻辑漏洞请求状态码异常正常的服务器对于uri的开头不为/的情况,一般都会产生4
- 2023-02-16检测Beacon c2网络特征
Azure-Sentinel/Detections/CommonSecurityLog/Fortinet-NetworkBeaconPattern.yaml RawBlame id:3255ec41-6bd6-4f35-84b1-c032b18bbfcb
- 2023-01-12CobaltStrike权限提升
BypassUAC UAC是微软在WindowsVista以后版本引入的一种安全机制,通过UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系
- 2022-11-19内网渗透神器CobaltStrike之Beacon详解(三)
Beacon的种类HTTPBeacon和HTTPSBeacon这两个beacon的原理是通过发送http请求与受害主机通信来传达命令,以此实现控制效果优点是传输数据快,缺点时隐蔽性差,容易被
- 2022-09-06【Wi-Fi 802.11协议】管理帧 之 Beacon帧详解
Beacon帧简介信标帧,由AP以一定的时间间隔周期性发出,以此来告诉外界自己无线网络的存在。Beacon帧组成下图为Beacon帧的组成下图为抓包所得(AP为2.4g11n模式),PacketInfo