Cobaltstrike-派生SMB_Beacon
SMB Beacon 简介
派生 SMB Beacon,Cobastrike 内网横向渗透扩展功能,Windows 将命名管道通信封装在 SMB 协议中,此流量封装在SMB协议中,所以SMB beacon相对隐蔽,能最大程度规避安全设备及防火墙的发现。SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。这种对等通信对同一台主机上的 Beacon 和跨网络的 Beacon 都有效,即 SMB Beacon 通过管道( pipe)进行进程间的数据传递。管道通信的进程可以是本地主机上的两个进程,也可以和远程主机上的进程通过网络进行通信。SMB beacon不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线。
使用要求
1 | 具有SMB Beacon的主机必须接受端口445上的连接。 |
派生 SMB Beacon
1、通过前期打点,已上线CS,获取beacon
2、派生SMB Beacon
新建SMB Beacon 监听器
派生会话SMB Beacon,个人习惯首先sleep 0,右键选中HTTP监听器上线的主机,interact进入Beacon控制台,输入spawn加SMB Beacon的监听器名称,刚新建名称为SMB,所以执行spawn SMB,运行成功后在external中可以看到IP后有个∞∞字符的派生SMB Beacon。
此时派生Beacon可同父Beacon一样执行命令
团伙协作-(失败)
主从服务器 派生 到队伍服务器。SMB Beacon可派生多个Beacon,可独立派生Beacon给团队每一位成员,且Beacon在各自的服务器上,互不影响。即从主从服务器派生到队伍服务器
1 | 队友服务器 Listen 生成 > 团队服务器 Listen 生成 使用队友IP > Spawn |
很遗憾,这一步参考了很多文章都无法实现,后补…..
参考文章
1 | https://blog.csdn.net/q20010619/article/details/121755856 |