marcocarolasec/BOF-Collection
GitHub: marcocarolasec/BOF-Collection
面向 Cobalt Strike 和 Havoc 的 OPSEC 友善型 BOF 工具集,以后渗透态势感知与权限枚举为核心。
Stars: 0 | Forks: 0
# BOF-Collection
用于后渗透操作的 Beacon Object Files。侧重于 OPSEC:动态 API 解析、最小的痕迹特征以及记录完备的检测面。
兼容 **Cobalt Strike 4.x** 和 **Havoc 0.7+**。
## BOFs
| 名称 | 类别 | 描述 | CS | Havoc |
|------|----------|-------------|:--:|:-----:|
| [enumLocalSessions](src/enumLocalSessions/) | 态势感知 | 枚举活动/断开连接的会话(本地 + RDP) | ✅ | ✅ |
| [enumLocalAdmins](src/enumLocalAdmins/) | 态势感知 | 枚举本地管理员组(本地或远程主机) | ✅ | ✅ |
| [getTokenPrivs](src/getTokenPrivs/) | 权限提升 | 枚举当前 token 权限,标记高价值权限 | ✅ | ✅ |
| [listNamedPipes](src/listNamedPipes/) | 态势感知 | 列出带有实例数的命名管道,标记可模拟的候选对象 | ✅ | ✅ |
## 结构
```
BOF-Collection/
├── include/
│ ├── beacon.h # Cobalt Strike BOF API (CS 4.x / Havoc compatible)
│ └── common.h # Shared macros and helpers
└── src/
└── /
├── .c
├── Makefile
└── README.md # Usage, OPSEC notes, detection surface
```
## 构建要求
```
sudo apt install mingw-w64
```
构建特定的 BOF:
```
cd src/enumLocalSessions
make x64
```
## OPSEC 理念
此集合中的每个 BOF 都遵循以下原则:
- **动态解析** — WinAPI 函数在运行时解析,而不是声明为静态导入。
- **无 CRT** — 避免了会增加痕迹体积的 MSVCRT 依赖。
- **显式清理** — 在返回前关闭句柄,释放模块,并将内存清零。
- **记录完备的检测** — 每个 BOF 都包含一个检测表,以便您在使用前评估风险。
## 参考
- [Cobalt Strike BOF 文档](https://www.cobaltstrike.com/blog/cobalt-strike-4-1-the-return-of-the-udrl/)
- [TrustedSec CS-Situational-Awareness-BOF](https://github.com/trustedsec/CS-Situational-Awareness-BOF)
- [SysWhispers3](https://github.com/klezVirus/SysWhispers3)
标签:API接口, BOF, C2框架, Cobalt Strike, Fail2ban, Havoc, HTTP/HTTPS抓包, mingw-w64, Mr. Robot, OPSEC, RDP会话, Windows API, 令牌权限, 动态API解析, 协议分析, 命名管道, 安全学习资源, 客户端加密, 态势感知, 攻击诱捕, 数据展示, 无线安全, 最小化痕迹, 本地管理员, 权限提升, 横向移动, 欺骗防御, 私有化部署, 红队, 编程规范, 行动安全, 防御规避