至少我们曾经在一起过。
来自:一言
前言
cs跨平台上线相关项目挺多(这里就不做上线协议啥的分析了,网上相关文章也很多...)
目前大部分好像常用的是CrossC2,但是Crossc2没有开源,所以选择用geacon(golang编写的,还可以看懂一些)来进行二开.geacon作者很久前就不再更新,不能适配cs的profile配置文件,所以需要做一些简单的二开。
环境准备
cs4.4(下载原版再用cs-agent破解就可以了):https://github.com/k8gege/Aggressor/releases
profile配置(选了个简单的):https://github.com/BC-SECURITY/Malleable-C2-Profiles/blob/dddad4550180e92eb33275b5167249a74f9a22e0/Normal/gmail.profile
1.首先运行cs服务端,这里选择的是原版的cs4.4,然后用上方的profile文件作为profile配置启动teamserver
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FpOeY7tg7HNB2a4r2HOgWGh_aSnZ.png)
2.客户端也正常运行没问题.任意新建一个http或者https监听器,看你需求。
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/Fsyf9KP6FjLiLn6hSZ2QUryx3Piz-951x1024.png)
跨平台上线
1.根据geacon官方说明中,需要先对.cobaltstrike.beacon_keys(文件会在cs服务端生成,相关原理可以在先知看cs逆向分析系列文章)进行解密获取到加密的key。解密工具:https://github.com/darkr4y/geacon/tree/master/tools/BeaconTool
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FlQwPp5Kbj-3dgpZPRTA9ExZoV6i.png)
2.将相关的key放入的geacon的config.go文件中.
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FhTBBnH1T477io-yAQIPf76DoXu-.png)
3.接下来就开始根据profile配置文件来修改相关代码.(只看profile里的http-get和http-post部分的配置即可)
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FuvoAVTHZrJxprOrfIWjaRobbQx6.png)
配置Get的header和burp代理(方便查看调试)
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FgwXnQ8BEzHdYzUlJcxvw_UsIu7f.png)
配置Post请求相关信息
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/Fs-UdIHaQc76o9HoT7idJOtE1ND9.png)
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FmihfO4trmuBWQFMhXUoxmlzyqwl.png)
4.尝试运行.
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FuEXYh4ylXLRdgRXaRMEGogxOIoa.png)
(mac成功上线)
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/Fmpi_GcEb0EOFqjeEd7DF1M9NKZF.png)
(命令执行正常)
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FioXDtYravxpDeee3QZYvNqibwRx.png)
(文件管理正常)
通信流量
获取需要执行的命令
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FpgxscKculqUznpJyCVVHVE3hugJ.png)
再把命令结果post到服务端
![渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]](https://www.nctry.com/wp-content/uploads/2022/05/FpuobOCvdrYjd7ysXEUmd1NDeWVV.png)
可以发现已经适配了的profile文件.
成品代码
相关代码已打包:https://github.com/TryHello/edit-gencon
下一篇教大家如何给cs新加自定义命令
本文作者为TRY,转载请注明。