Yaxser/CobaltStrike-BOF

# CobaltStrike BOF Beacon BOF 合集。 # 1 ) DCOM 横向移动 一个使用 DCOM (ShellWindows) 通过 beacon object files 进行横向移动的快速 PoC。你可以指定凭据或使用当前用户。要使用当前用户，只需将域、用户名和密码留空。一篇关于在 C 中使用 COM 对象的短文[可以在找到这里](https://yaxser.github.io/CobaltStrike-BOF/)。 # 2 ) WMI 横向移动 - Win32_Process Create 与上一个类似的概念，但是一次有趣的学习经历。代码改编自 [CIA Vault 8](https://wikileaks.org/ciav7p1/cms/page_11628905.html)。此方法使用 Win32_Process 类。 # 3 ) WMI 横向移动 - Event Subscription 这个使用 WMI 事件进行横向移动。大部分繁重的工作是由 [wumb0in](https://wumb0.in/scheduling-callbacks-with-wmi-in-cpp.html) 完成的。 # 4 ) 按需 C2 这是一个使用 dotnet BOF 实现按需 C2 的案例。Beacon 将进入休眠状态，直到收到包含指定词语（在主题或正文中）的邮件。这样你的 beacon 只会在你希望它回连时才回连。当 beacon 回连时，它将按照 malleable profile 中配置的休眠时间进行回连。当你完成后，可以再次运行 BOF，beacon 将休眠直到你发送另一封邮件。作为额外功能，包含指定词语的邮件将在用户收到通知之前被删除。 ### 说明 1 ) 下载 BOF .NET 项目（感谢 [CCob](https://twitter.com/_EthicalChaos_) 的杰出工作！）并按照 CCob 的指南[在这里](https://github.com/CCob/BOF.NET)将 dll 加载到 beacon 中。 2 ) 使用以下命令执行：bofnet_execute On_Demand_C2_BOF.OnDemandC2Class subject COVlD-19* 3 ) 现在，为了让你的 beacon 回连，你可以发送一封类似这样的邮件 [SUSPECTED SPAM] The new COVlD-19 update 邮件将直接被重定向到“已删除邮件”，beacon 将再次回连！ *这是一个带有小写 L 的 COVLD-19，以确保唯一性。 你也可以像下面这样指定正文选项 bofnet_execute On_Demand_C2_BOF.OnDemandC2Class body "it can also be a sentence!" 如果你这样做，只有当邮件正文包含 "it can also be a sentence!" 时，应用程序才会触发。但是，这种方法每次收到邮件时都会导致提示“某个程序正试图访问电子邮件地址信息”，因此我建议仅当你知道此功能已禁用时才使用它（在企业中看到它被禁用是很常见的，但额外的 OPSEC 总是没有坏处的）。 ## 你为什么要做这个？ 我将这些技术移植到 BOF 是为了更多地了解 Windows、CobaltStrike 和横向移动。我对单纯复制/粘贴 PowerShell 命令这种做法感到厌倦，这引发了我的好奇心。 ## 这是你从头开始写的吗？ DCOM 横向移动花了一些时间才弄清楚，而且我没有在其他项目/仓库中找到现成的实现。然而，WMI 横向移动部分主要是由其他人完成的。我所做的是一些小的修改并将其移植到 BOF。 ## 关于质量 我还不是一个经验丰富的开发者，所以请小心使用。在将这些脚本推送到 GIT 之前，它们在一个提供网络 MDR 服务的企业环境中进行了测试，没有触发警报。然而，不言而喻，你应该在参与项目之前修改并测试这些脚本。如果你需要帮助，请随时联系我。另外，如果你对这些 BOF 的 aggressor scripts 感兴趣，请告诉我！ ## 我/我们可以联系你吗？ 是的，可以通过 [Twitter](https://twitter.com/Yas_o_h) 或 [email](mailto:Y.Alhazmi@student.fontys.nl)。 ## 我/我们可以帮你吗？ 是的，通过点赞、转发，或者在我大学毕业后邀请我加入你的红队。 ## 致谢 非常感谢 [rsmudge](https://github.com/rsmudge) 的持续支持和对问题的快速响应。[domchell](https://github.com/dmchell) 的文章是一个很好的介绍，并帮助我确定了优先级。

标签：APT, BOF, CobaltStrike, Conpot, CTF学习, DCOM, IP 地址批量处理, ShellWindows, Win32_Process, Windows安全, WMI, 事件订阅, 内网渗透, 命令与控制, 多人体追踪, 数据展示, 横向移动, 欺骗防御, 红队, 编程规范, 网络信息收集, 邮件触发, 隐蔽通信