Cobalt Strike几种不常见的上线方式

#Cobalt Strike新增了几种上线方式

介绍：Staged 和 Stageless 的区别. 前者的实际功能只是和 C2 建立连接并接收 Payload, 然后加载执行, 而 Stageless 直接省去了接收 Payload 的步骤. Stageless 生成除了的 Payload 都会比 Staged 类型的要大很多, 而且包含了特征明细

 

一.windows/beacon_smb/bind_pipe

命名管道通过父Beacon进行通信，上线方式走的是 SMB 协议, 正向连接, 目标机器必须开启 445 端口, 同时利用命名管道来执行命令，在Attacks - > Packages - > Windows Executable（Stageless ）这里支持导出该类型listener对应的可执行文件或者dll等。配合可执行文件使用的命令是link和unlink，目标机器那边运行完可执行文件在跳板机这边link过去，目标机器就可以上线。或通过psexec横向移动选择windows/beacon_smb/bind_pipe上线

beacon_smb有两个命令unlink会直接把目标IP刚刚通过smb上线的会话全部断开，不过link这个IP两次仍然可以把两个会话都link回来。通过可执行文件上线的会话，unlink之后beacon进程并没有退出，link一次会重新连接上线。通过psexec上线的system权限会话也可以通过同样的命令link回来。

 

二.windows/beacon_tcp/bind_tcp

bind_tcp(仅与父 Beacon 通信)是"TCP套接字通过父信标进行通信"，Attacks -> Packages -> Windows Executable (Stageless )这里同样可以生成对应的beacon payload。命令格式同smb相似，不过此处连接目标IP的命令不是link，而是connect。取消连接目标机器的话对应的命令与smb同为unlink，创建lisenter端口默认写死4444端口再改也没用

 

unlink以后，beacon进程随之也会被退出这就是和smb_beacon不同之处

三.windows/beacon_reverse_tcp

添加windows/beacon_reverse_tcp右键单击被控机器在 [beacon] -> Pivoting -> Listener

Attacks - > Packages - > Windows Executable（Stageless ）生成beacon

创建完成后beacon会执行一条命令rportfwd 4444 windows/beacon_reverse_tcp

 

unlink以后，进程会直接退出。