Awesome
CS_mock
模拟cobalt strike beacon上线包. Simulation cobalt strike beacon connection packet.
拿到c2通信使用的RSA public key和提交metedata的url 即可模拟上线
Use the CobaltStrikeParser extract public key from the payload https://github.com/Sentinel-One/CobaltStrikeParser parse_beacon_config.py payload_url --json
Remember to remove the extra padding from the public key
matadata 协议结构
┌─────────────────────────────────────────────────┐
│ head │
├──────────────────────────┬──────────────────────┤
│ 4 Byte │ 4 Byte │
├──────────────────────────┼──────────────────────┤
│ magic 00 00 be ef │ metadata_len │
├──────────────────────────┴──────────────────────┤
│ metadata │
├─────────────────────────────────────────────────┤
│ 16 Byte │
├─────────────────────────────────────────────────┤
│ aes_key │
├────────┬────────┬────────┬───────┬──────┬───────┤
│ 2 byte │ 2 byte │ 4 byte │ 4 byte│2 byte│ 1 byte│
├────────┼────────┼────────┼───────┼──────┼───────┤
│os_info1│os_info2│ id │ pid │ port │ flag │
├────────┼────────┼────────┼───────┼──────┼───────┤
│ 1 byte │ 1 byte │ 2 byte │ 4 byte│4 byte│4 byte │
├────────┼────────┼────────┼───────┼──────┼───────┤
│ os_ver │os_ver_2│os_bulid│ ptr_1 │ptr_2 │ptr_3 │
├────────┴────┬───┴────────┴───────┴──────┴───────┤
│ 4 byte │ TAB split TEXT │
├─────────────┼───────────────────────────────────┤
│inner_ip_addr│ computername username processname │
└─────────────┴───────────────────────────────────┘