请注意 ， 这在Cobalt Strike 4.0中有所更改 ， 其中添加了许多新字段 。 下面的代码涵盖3.5和4.0版本 。
import M2Crypto
import requests
PRIVATE_KEY_TEMPLATE = "-----BEGIN PRIVATE KEY-----{}-----END PRIVATE KEY-----"
PUBLIC_KEY_TEMPLATE = "-----BEGIN PUBLIC KEY-----{}-----END PUBLIC KEY-----"
class Metadata(object):
"""
Class to represent a beacon Metadata object
"""
def __init__(self, data="", private_key="", public_key="", cs_version=4):
self.cs_version = cs_version
self.data = http://news.hoteastday.com/a/data
self.public_key = public_key
self.private_key = private_key
self.port = 0
self.ciphertext = ""
self.charset = ""
self.charset_oem = ""
self.ver = ""
self.intz = ""
self.comp = ""
self.user = ""
self.pid = ""
self.bid = ""
self.barch = ""
self.raw_aes_keys = ""
self.aes_key = ""
self.hmac_key = ""
self.is64 = False
self.high_integrity = False

if data and len(data) != 128:
raise AttributeError("Metadata should be 128 bytes")
if data and private_key:
self.rsa_decrypt()
self.unpack()
def calculate_aes(self):
h = hashlib.sha256(self.raw_aes_keys)
digest = h.digest()
self.aes_key = digest[0:16]
self.hmac_key = digest[16:]
def rsa_decrypt(self):
pkey = M2Crypto.RSA.load_key_string(PRIVATE_KEY_TEMPLATE.format(self.private_key))
plaintext = pkey.private_decrypt(self.data, M2Crypto.RSA.pkcs1_padding)
assert plaintext[0:4] == "x00x00xBExEF"
self.data = http://news.hoteastday.com/a/StringIO.StringIO(plaintext[8:])
def readInt(self, byteorder="&gt"):
fmt = byteorder + "L"
return struct.unpack(fmt, self.data.read(struct.calcsize(fmt)))[0]
def readShort(self, byteorder="&gt"):
fmt = byteorder + "H"
return struct.unpack(fmt, self.data.read(struct.calcsize(fmt)))[0]
def readByte(self):
fmt = "b"
return struct.unpack(fmt, self.data.read(struct.calcsize(fmt)))[0]
def flag(self, b, s):
return b &amp s == s
def print_config(self):
print "raw AES key: %s" % self.raw_aes_keys[0:8].encode("hex")
print "raw HMAC key: %s" % self.raw_aes_keys[8:].encode("hex")
print "AES key: %s" % self.aes_key.encode("hex")
print "HMAC key: %s" % self.hmac_key.encode("hex")
print "ver: %s" % self.ver
print "host: %s" % self.intz

print "computer: %s" % self.comp
print "user: %s" % self.user
print "pid: %s" % self.pid
print "id: %s" % self.bid
print "barch: %s" % self.barch
print "is64: %s" % self.is64
if self.cs_version &gt 3:
print "charset: %s" % self.charset
print "port: %s" % self.port
def unpack(self):
self.data.seek(0)
self.raw_aes_keys = self.data.read(16)
self.calculate_aes()
if self.cs_version &lt 4:

推荐阅读

• 

  「实战财经」疫情对国人消费习惯造成的三个深远影响
• 

  宜昌夷陵区邓村提速升级 推进茶业跨越发展
• 

  翡翠手镯|翡翠手镯选对类型很重要，手镯的类型不同，适合的人群也不一样
• 

  微微带你笑|我已到深圳了，开心一笑：老婆
• 

  大自然的指南针有哪些？
• 

  行者车视觉修车师傅看到后：车都被你“养”坏了，“国人养车”三大怪现象
• 

  塞尔比|欧洲赛1-5惨败！丁俊晖止步8强，总战绩再次被塞尔比反超
• 

  直播吧|年薪150万欧，斯基拉：库姆布拉将与罗马签约4年
• 

  盛冬惊喜黄金早餐，腊肠炒饭香甜可口，元气满满，火热上线
• 

  直播吧|接班卡里乌斯？，外媒：贝西克塔斯有意罗马门将奥尔森
• 

  「重庆火锅」老干妈逗“鹅”冤
• 

  齐鲁东营资讯|东营区妇联2020“魅力东营”短视频大赛创作训练营暨“指尖上的妇女微家”小程序发布仪式举办
• 

  转母亲一千块，老公却扬言跟我离婚：远嫁的女人不独立，很苦
• 

  鸡与哪些生肖比较旺,最旺鸡的生肖是什么-
• 

  「隔壁老王说车」全球唯一双十佳豪华SUV，比奥迪Q5霸气10倍，仅售27万，今日上市
• 

  篮球小说排行榜完本经典之作 2020好看的篮球小说
• 

  爱辉科技|iPhone斩获单项第一！，到底谁拍照最好？DXO公开年度榜单
• 

  文汇|上海大科学设施群再添新成员
• 

  山东上半年空气质量反弹 重污染天数同比增加3.8天
• 

  『运势』6月23号，运势走红，天赐福禄的3大生肖，赚钱更，发家致富

• 互联网|上线半年收获6700万用户，这款聚焦下沉用户的陌生人社交APP是怎么做到的？
• 互联网|5G商用一周年，华为云向互联网企业大抛绣球
• 互联网|中台产品经理实战(14)：中台与SaaS、微服务关系
• 互联网|行业观察 | 你所不知道的5G消息
• 互联网|多名知名人物推特被黑，拜登奥巴马都“中招”，比尔盖茨也在其内
• 互联网|发放高利贷，还要窃取用户信息？这些金融APP在秀“道德底线”
• 互联网|东莞先知：数字智能，先觉“先知”
• 云计算|从互联网到AI崛起，上海能弯道超车吗？
• 行业互联网,5G|江苏有线顺利完成园区5G信号开通测试
• 行业互联网,AI人工智能|城市教育大脑以“ AI+ 大数据”为核心 , 引领教育变革