本文主要是介绍CobaltStrike逆向学习系列(12):RDI 任务发布流程分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
这是[信安成长计划]的第 12 篇文章
0x00 目录
0x01 任务构建
0x02 结果处理
0x03 功能 DLL 分析
之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析
0x01 任务构建
CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令
这两种方式在执行前都会去判断当前用户的权限是否是管理员,如果是才会去执行,而这两种不同的触发方式所使用的检测权限也是在不同位置的
如果是在界面上点击的话,它会在 cna 脚本中直接进行判断
如果通过命令的话,它会在 BeaconConsole 处理的时候直接来判断
而判断方法就是直接判断用户名是否带星号,因为在初始化 BeaconEntry 的时候就已经进行了设置,如果是管理员的话
这篇关于CobaltStrike逆向学习系列(12):RDI 任务发布流程分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
