Beacon使用 在目标上线CS后,右键目标 interact 使用 Beacon
在 Cobalt Strike 中它的心跳默认是60s(即sleep时间为60s,每一分钟目标主机Beacon 与 teamserver 通信一次)
如果sleep时间过长,在下载文件时花费时间明显过长,所以在测试时会把时间降低一点 。
一般拿到 Beacon 后先执行 sleep 修改到合适的睡眠时间,根据实战环境来调节,建议不要太快,不然流量会很明显。
Beacon 中不能直接输入 cmd 命令,比如要让目标机执行 ipconfig 这条cmd命令,对应的beacon命令是 shell ipconfig
其他的beacon命令,可以在beacon中输入help
- argue 匹配过程的欺骗参数
- blockdlls 阻止子进程中的非Microsoft DLL
- browserpivot 设置浏览器 pivot 会话
- cancel 取消正在进行的下载
- cd 变更目录
- checkin Call home and post data
- clear 清除 beacon 队列
- connect 通过TCP连接到Beacon peer
- covertvpn 部署Covert VPN客户端
- cp 复制文件
- dcsync 从DC提取密码哈希
- desktop 查看目标桌面并与之交互
- dllinject 将反射DLL注入到进程中
- dllload 使用LoadLibrary()将DLL加载到进程中
- download 下载文件
- downloads 列出正在进行的文件下载
- drives 列出目标上的驱动器
- elevate 在提升权限的环境中生成会话
- execute 在目标上执行程序(无输出)
- execute-assembly 在目标内存中执行本地 .NET 程序
- exit 终止beacon会话
- getprivs 在当前令牌上启用系统特权
- getsystem 尝试获得SYSTEM
- getuid 获取用户ID
- hashdump 转储密码哈希
- help 帮助菜单
- inject 在特定进程中产生会话
- inline-execute 在此会话中运行Beacon Object File
- jobkill 杀死长期运行的后渗透任务
- jobs 列出长期运行的后渗透任务
- jump 在远程主机上生成会话
- kerberos_ccache_use 将缓存中的kerberos tickets应用于此会话
- kerberos_ticket_purge 清除本次会议中的kerberos tickets
- kerberos_ticket_use 将kerberos tickets应用于此会话
- keylogger 将键盘记录器注入进程
- kill 杀死进程
- link 通过命名管道连接到Beacon peer
- logonpasswords 使用mimikatz转储凭证和哈希
- ls 列出文件
- make_token 创建令牌以传递凭据
- mimikatz 运行mimikatz命令
- mkdir 创建目录
- mode dns 将DNS A记录用作数据通道(仅DNS beacon)
- mode dns-txt 将DNS TXT记录用作数据通道(仅DNS beacon)
- mode dns6 将DNS AAAA记录用作数据通道(仅DNS beacon)
- mv 移动文件
- net 网络和主机枚举工具
- note 给beacon分配一个注释
- portscan 扫描网络以查找开放服务
- powerpick 通过 Unmanaged PowerShell执行命令
- powershell 通过powershell.exe执行命令
- powershell-import 导入Powershell脚本
- ppid 为产生的post-ex jobs设置父ID
- ps 显示进程列表
- psinject 在特定进程中执行powershell命令
- pth 使用Mimikatz进行哈希传递
- pwd 打印当前目录
- reg 查询注册表
- remote-exec 在远程主机上运行命令
- rev2self 恢复为原始令牌
- rm 删除文件或文件夹
- rportfwd 设置反向端口转发
- run 在目标上执行程序(返回输出)
- runas 以其他用户身份执行程序
- runasadmin 在提升权限的环境中执行程序
- runu 在另一个PID下执行程序
- screenshot 截屏
- setenv 设置环境变量
- shell 通过cmd.exe执行命令
- shinject 将Shellcode注入进程
- shspawn 生成进程并将shellcode注入其中
- sleep 设置beacon睡眠时间
- socks 启动SOCKS4a服务器以中继流量
- socks stop 停止SOCKS4a服务器
- spawn 产生一个会话
- spawnas 以其他用户身份发起会话
- spawnto 设置可执行文件以将进程生成为
- spawnu 在另一个进程下产生会话
- ssh 使用SSH在主机上生成一个SSH会话
- ssh-key 使用SSH在主机上生成一个SSH会话
- steal_token 从进程中窃取访问令牌
- timestomp 将时间戳从一个文件应用到另一个文件
- unlink 与父Beacon断开连接
- upload 上传文件
复制代码
|