CobaltStirke BOF技术剖析(一)|BOF实现源码级分析

最新推荐文章于 2025-06-26 08:40:14 发布
原创 最新推荐文章于 2025-06-26 08:40:14 发布 · 1.2k 阅读 · 1
标签
#网络安全 #web安全 #安全
本文深入剖析CobaltStrike的BOF技术,包括其本质为OBJ文件、执行过程、内部API以及优缺点。BOF在内存中执行,避免文件检测,提供动态函数解析功能,但不支持bss段和多线程,适合小型后渗透工具开发。

简介

对BOF(Beacon Object
File)的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部Beacon
API调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。

BOF本质-OBJ文件

当我们通过file命令查看编译后的BOF文件,我们会发现它是一种名为COFF的文件格式。在Windows操作系统中编译产生的.obj中间文件使用的便是这种格式的文件,也可以作为BOF在cobaltstrike中被正确执行。

Intel amd64 COFF object file, no line number info, not stripped, 7 sections,
symboloffset=0x1330, 212 symbols

利用PEView等工具可以观察其结构:

1627549288_61026e6818694194966bb.png!small?1627549291135

在.text段存在编译完成的代码

1627549308_61026e7caa23cc8ee5fcf.png!small?1627549311551

通过如下命令可以调用cobaltstrike自带的BOF解析函数查看BOF文件的属性,及其中的重定向信息。

最低0.47元/天 解锁文章
web老猴子
关注
编写 CobaltStrike 插件: 详细教程及源代码
2301_79330511的博客
09-15 330
以上代码展示了个简单的 CobaltStrike 插件,它实现了 BeaconPlugin 接口,并重写了其中的方法。CobaltStrike款常用的渗透测试工具,它提供了许多功能强大的特性,同时也支持用户自定义插件。我们将步步介绍如何编写个简单的 CobaltStrike 插件,并提供相应的源代码供您参考。您可以根据自己的需求,编写更加复杂和强大的插件。CobaltStrike 提供了丰富的 API 和文档,可以帮助您更好地了解其插件开发的各个方面,包括各种回调方法、数据结构和功能。
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3950
、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
红队笔记之CobaltStrike4.4源码修改方法
明光札记
12-04 8286
文章目录CobaltStrike4.4反编译的几个思路方法:利用动态编程完成源码的修改方法二:借助反编译工具先反编译再进行编译方法三:借助原有jar与反编译源码修改并编译代码CobaltStrike4.4源码修改方法步骤简介具体步骤利用反编译工具逆向出源码新建工程引入逆向源码与原有jar包修改源码并重新打包 本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修改方法,修改CobaltStrike主要为了修改和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火.
内网渗透神器CobaltStrikeBOF编写()
xf555er的博客
08-21 2821
Beacon Object File(BOF) 从Cobalt Strike4.1开始所添加的新功能,它允许你使用C语言编写扩展来扩展Beacon的功能。这些扩展可以在运行时直接加载到Beacon的内存中并执行,无需在目标机器的磁盘上创建任何文件BOF个关键特性是它的运行时环境非常有限。它不能直接调用Windows API,而只能通过Cobalt Strike提供的组函数来与操作系统进行交互。这样做的原因是为了防止BOF在运行时出错导致Beacon崩溃。
CS BOF文件编写/改写
Love&Share
01-25 2686
Beacon Object File(BOF) cs 4.1后添加的新功能,
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 4370
做渗透测试的个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
pwnable.kr-bof
weixin_43464124的博客
11-20 712
第第第第第…三题了 首先看看题目: 按照题目要求,我们就先把bofbof.c下载下来看看吧(因为我还是习惯用Windows,而且我的ida也在Windows上,所以手动下载QAQ)。 打开看看: 不长的c程序,很简单的溢出。很明显直接按照他的方式key的值是无法system("/bin/sh")的,因此我们通过溢出覆盖掉这个key的值。但是我们只能通过输入overflow的值来溢出,所以我们看...
【亲测免费】 探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板
gitblog_00085的博客
05-26 731
探索安全界的宝石:Cobalt Strike Beacon Object File(BOF)模板 在网络安全领域,Cobalt Strike的Beacon Object Files(BOFs)是个强大的工具,它让扩展Beacon功能变得更加简便且安全BOFs是COFF对象文件,可在与Beacon相同的进程中执行,避免了使用可能暴露操作安全性的fork&run技术。这个开源项目提供了个...
轻松学会cobalt strike插件开发
qq_37561898的博客
11-18 1356
的支持是在CobaltStrike4.1版本中新引入的功能。BOF文件是由c代码编译而来的可在Beacon进程中动态加载执行的二进制程序。无文件执行与无新进程创建的特性更加符合OPSEC的原则,适用于严苛的终端对抗场景。低开发门槛与便利的内部Beacon API调用与使得BOF特别适合后渗透阶段攻击工具的快速开发与移植。跟RDI样关于BOF,CS也提供了相关的文档进行解释和开发介绍BOF C API。
Cobalt Strike 开源项目教程
gitblog_00803的博客
08-19 740
Cobalt Strike 开源项目教程 项目介绍 Cobalt Strike个用于模拟对抗性攻击的工具,它能够模拟长期潜伏在IT网络中的威胁行为者的战术和技术。该项目是个付费的渗透测试产品,允许攻击者在受害机器上部署名为“Beacon”的代理。通过开源项目 Te-k/cobaltstrike,我们可以深入了解其工作原理和使用方法。 项目快速启动 环境准备 在开始之前,确保你已经安装了以下...
CobaltStrike逆向学习系列(15):CS功能分析-BOF
SecSource_Stars的博客
02-22 1066
这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF功能分析 在 CS 中,有相当部分功能都是 BOF 形式的,我们随意选择个 它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,些函数还是自己实现的好 在实际调用的时候,
【学习笔记】红队视角下的windows应急响应
Zichel77的博客
03-14 747
2)白加黑接下来的讲解就是基于白加黑上线,看如何应对应急。
Metasploit进阶笔记之ExecuteBof 命令
K
11-09 1404
本指南概述了如何使用由 bofloader 扩展提供的 Meterpreter命令。它允许 Meterpreter 会话执行“Beacon 对象文件”或简称 BOF 文件。BOF种通用对象文件格式(COFF)可执行文件,其 API 包含在 beacon.h 中定义的标准函数。bofloader 扩展仅适用于 Windows 本地 Meterpreter,即使在 Windows 平台上运行时,Java Meterpreter 也无法使用此功能。
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 8937
cobalt strike流量特征分析
cli4bofs:款功能强大的BOF文件运行命令行接口工具
FreeBuf_的博客
04-25 925
该工具能够使用bof-launcher库来完成下列任务:1、直接在Windows(x86、x64)平台从文件系统读取并运行BOF文件;2、直接在Linux/UNIX(x86、x64、ARM、AARCH64)平台从文件系统读取并运行BOF文件;
20194307肖江宇exp-1
MYRLY的博客
03-17 3368
20194307肖江《网络对抗技术》 exp1 逆向与Bof基础
探秘通用解钩子神器:Beacon Object File 的强大应用
gitblog_00056的博客
05-25 557
探秘通用解钩子神器:Beacon Object File 的强大应用 unhook-bofRemove API hooks from a Beacon process.项目地址:https://gitcode.com/gh_mirrors/un/unhook-bof 1、项目介绍 在网络安全和逆向工程的世界中,Beacon Object File 用于刷新 DLL 和移除其钩子的工具是把利器。...
【亲测免费】 探秘PoolParty BOF:Windows线程池中的隐形战士
gitblog_00011的博客
06-07 1122
探秘PoolParty BOF:Windows线程池中的隐形战士 在暗夜的数字世界中,潜行与隐匿成为了场没有硝烟的战争的核心。今天,我们来揭开个令人瞩目的开源项目——PoolParty BOF,它巧妙利用Windows线程池机制,演绎了出无声的入侵戏码。 项目介绍 PoolParty BOF 是基于[@SafeBreach]和[@0xDeku]杰出工作之上的实现,具体而言,是针对[PoolP...
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1423
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有段时间了,这里献丑分析下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
Cobalt Strike二开魔改&&免杀
最新发布
chinese_cabbage0的博客
06-26 1631
32px,logo是256。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值