CobaltStrike Beacon上线协议分析教学文档<\/h1>

1. 概述<\/h2>
本文档详细分析CobaltStrike Beacon的上线协议流程，涵盖从Beacon DLL发送上线请求到TeamServer处理的全过程，包括关键函数调用、数据加密、C2Profile解析等核心技术点。<\/p>

2. Beacon发送流程<\/h2>

2.1 通信函数调用链<\/h3>

Beacon上线时通过以下Windows API函数序列建立HTTP连接：<\/p>

InternetOpenA<\/strong> - 初始化WinINet，传入agent标识<\/li>
InternetConnectA<\/strong> - 指定C2服务器的IP和端口<\/li>
HttpOpenRequestA<\/strong> - 设置请求类型和URI<\/li>
HttpSendRequestA<\/strong> - 发送HTTP请求（此时COOKIE已加密）<\/li> <\/ol>
2.2 加密前准备<\/h3>
在进入功能性while循环前，Beacon已完成：<\/p>

信息收集<\/li>
数据加密<\/li>
C2Profile解析<\/li> <\/ul>
2.3 C2Profile解析机制<\/h3>
C2Profile的解析采用索引(index)方式获取值：<\/p>

从C2Profile中取出index为7的值（对应publickey）<\/li>
GetPtrValue<\/strong>函数逻辑（汇编级分析更清晰）：

根据index跳转到对应偏移<\/li>
前8字节判断数据类型<\/li>
后8字节存储实际值\/地址<\/li> <\/ul> <\/li> <\/ol>
其他类型值的获取采用相同机制。<\/p>
3. TeamServer处理流程<\/h2>
3.1 请求接收<\/h3>
TeamServer使用NanoHTTPD库处理HTTP请求：<\/p>

自定义WebServer类继承NanoHTTPD<\/li>
包含专门的处理函数<\/li> <\/ul>
3.2 请求处理流程<\/h3>

请求首先进入MalleableHook.serve()<\/code><\/li>
实际调用BeaconHTTP.serve()<\/code>进行解析<\/li>
关键处理步骤：检查数据长度是否为128位<\/li> 使用私钥进行解密<\/li> 验证标志位0x48879<\/li> 检查数据长度是否小于117字节<\/li> 返回剩余字符<\/li> <\/ul> <\/li> <\/ol> 3.3 Beacon元数据处理<\/h3> 保留前16字节作为关键数据<\/li> 16-20字节用于字符集判断<\/li> 获取Listener名称<\/li> 初始化BeaconEntry<\/code>：从中间数据连续取值<\/li> 填充Beacon所需的各种信息<\/li> <\/ul> <\/li> <\/ol> 3.4 加密密钥注册<\/h3> 调用this.getSymmetricCrypto().registerKey<\/code>方法：<\/p> 传入参数为前16字节数据<\/li> 检查BeaconId是否存在（首次上线不存在）<\/li> 对16字节数据进行SHA-256哈希：前16字节作为AES密钥<\/li> 后16字节作为HMAC-SHA256密钥<\/li> <\/ul> <\/li> 将密钥与BeaconId建立映射关系<\/li> 最后通过sendResponse<\/code>返回响应<\/li> <\/ol> 4. 关键技术点总结<\/h2> C2Profile解析<\/strong>：<\/p> 基于索引的取值机制<\/li> 8字节类型标识+8字节值\/地址的结构<\/li> <\/ul> <\/li> 加密流程<\/strong>：<\/p> 上线前完成数据加密<\/li> 使用C2Profile中的公钥<\/li> TeamServer使用私钥解密<\/li> <\/ul> <\/li> 元数据结构<\/strong>：<\/p> 前16字节为关键数据<\/li> 特定位置包含字符集信息<\/li> 中间数据包含Beacon配置信息<\/li> <\/ul> <\/li> 密钥派生<\/strong>：<\/p> 基于SHA-256的密钥派生<\/li> 分割哈希值作为不同用途的密钥<\/li> <\/ul> <\/li> 标志验证<\/strong>：<\/p> 固定标志位0x48879验证<\/li> 长度检查机制（<117字节）<\/li> <\/ul> <\/li> <\/ol> 5. 流程图要点<\/h2> （注：原文未提供具体流程图，根据描述可构建以下流程）<\/p> Beacon DLL: 1. 收集信息 → 加密数据 → 构建HTTP请求 └─ C2Profile解析 → 获取公钥 TeamServer: 1. 接收请求 → 验证长度 → 解密数据 2. 验证标志 → 解析元数据 → 注册密钥 3. 创建BeaconEntry → 发送响应 <\/code><\/pre> 此文档全面覆盖了CobaltStrike Beacon上线协议的关键技术细节，可作为深入分析CobaltStrike行为的参考指南。<\/p>

CobaltStrike Beacon上线协议分析教学文档<\/h1>

1. 概述<\/h2> 本文档详细分析CobaltStrike Beacon的上线协议流程，涵盖从Beacon DLL发送上线请求到TeamServer处理的全过程，包括关键函数调用、数据加密、C2Profile解析等核心技术点。<\/p>

2. Beacon发送流程<\/h2>

3. TeamServer处理流程<\/h2>

1. 概述<\/h2>
本文档详细分析CobaltStrike Beacon的上线协议流程，涵盖从Beacon DLL发送上线请求到TeamServer处理的全过程，包括关键函数调用、数据加密、C2Profile解析等核心技术点。<\/p>