产业气象站|Strike一个历史遗留漏洞的研究，对红队利器Cobalt 0x01基本信息这篇文章介绍了Beacons和3

0x01基本信息
这篇文章介绍了Beacons和3.5系列中的TeamServer之间CobaltStrike的一些通信和加密内部结构。然后，我们探索了从2016年起对CobaltStrike3.5中的漏洞的后续利用，以在TeamServer上实现远程未经身份验证的代码执行。
我们希望这篇文章将帮助BlueTeams进行防御检测，并更好地理解支持CobaltStrike的加密基础知识。
对于RedTeam ，我们提供了一个示例，说明为什么加强你的CommandandControl基础结构很重要。
在CobaltStrike中，修复了多个版本中存在的漏洞：
·CobaltStrike&lt=3.5
·CobaltStrike3.5-hf1（针对在野漏洞利用链的热补丁程序）
·CobaltStrike3.5-hf2
该漏洞由CobaltStrike的团队于2016年披露，并于9月得到了积极利用。迅速以3.5.1的版本发布了补丁。
0x02从Beacon开始
Beacon是下载Beacon（DLL）shellcodeblob的过程，该过程将通过较小的shellcode下载程序执行-通常是漏洞利用程序或删除程序文档的结果。这里的目的是解决受大小限制的漏洞利用，例如，由于缓冲区溢出或类似情况，你只有一定数量的空间来保存你的shellcode 。就是说，从红队作战的角度来看，在可能的情况下，始终首选全阶段（也称为无阶段）有效载荷。
默认情况下， CobaltStrike支持Meterpreter暂存协议，并通过checksum8格式公开其暂存器URL 。

文章图片
通过Checksum8检索stager
从CobaltStrike3.5.1开始，你现在还可以使用“host_stage=false”设置完全禁用下载。在此文章中讨论的漏洞的官方修补程序之后，此功能作为一项功能添加。
下载暂存器shellcode后，在执行传递到解码的BeaconDLL之前，将使用自定义XOR编码器对其余的shellcode进行解码。所用的XOR编码器将不在本文中讨论，因为这是CobaltStrike许可版本的功能。
从暂存器Blob中提取DLL之后，可以使用固定的XOR密钥0x69提取Beacon设置以及公共密钥。这是SentinelOne团队最近发布的，该团队发布了CobaltStrikeParser工具。
0x03CobaltStrikeBeacon的内部通信
解码并执行后， Beacon随后需要与TeamServer通信。在构建漏洞payload之前，这涉及我们需要了解的各种CobaltStrike通信和加密内部。
Beacon载入
每当Beacon载入时，它都会发送一个加密的元数据blob 。这是使用从下载程序提取的RSA公钥加密的。为了帮助调试，你可能还希望从TeamServer中转储RSA私钥。
这可以通过在TeamServer上运行以下Java代码来实现。私钥在名为“.cobaltstrike.beacon_keys”的文件中序列化，该文件与TeamServer文件位于同一文件夹中。
要编译/运行此代码，你需要将你的类路径设置为cobaltstrike.jar文件（例如-cpcobaltstrike.jar）
importjava.io.File
importjava.util.Base64
importcommon.CommonUtils
importjava.security.KeyPair
classDumpKeys
{
publicstaticvoidmain(String[]args)
{
try{
Filefile=newFile(".cobaltstrike.beacon_keys")
if(file.exists()){
KeyPairkeyPair=(KeyPair)CommonUtils.readObject(file,null)
System.out.printf("PrivateKey:%s",newString(Base64.getEncoder().encode(keyPair.getPrivate().getEncoded())))
System.out.printf("PublicKey:%s",newString(Base64.getEncoder().encode(keyPair.getPublic().getEncoded())))
}
else{
System.out.println("Couldnotfind.cobaltstrike.beacon_keysfile")
}
}
catch(Exceptionexception){