CobaltStrike逆向学习系列(1):控制端登陆流程分析 - 教学文档<\/h1>

1. 名词定义<\/h2>

Controller<\/strong>: CobaltStrike的客户端界面，用于操作和控制<\/li>
TeamServer<\/strong>: CobaltStrike的服务端，负责与Beacon通信<\/li>
Beacon<\/strong>: 植入目标系统的payload，执行命令并回传结果<\/li> <\/ul>
2. 整体流程概述<\/h2>
Controller连接TeamServer的完整流程分为以下几个阶段：<\/p>

密码校验阶段<\/li>
aggressor.authenticate认证<\/li>
aggressor.metadata元数据交换<\/li>
数据同步阶段<\/li>
常态化通信<\/li> <\/ol>
3. 密码校验详细流程<\/h2>
3.1 TeamServer准备阶段<\/h3>

TeamServer启动后创建SecureServerSocket<\/code>对象<\/li>
循环调用acceptAndAuthenticate<\/code>方法等待Controller连接<\/li>
验证成功后调用clientAuthenticated<\/code>方法<\/li>
创建线程执行ManageUser<\/code>处理Controller信息<\/li> <\/ol> 3.2 Controller连接阶段<\/h3> 点击Connect按钮触发dialogAction<\/code>方法<\/li> 创建SecureSocket<\/code>对象<\/li> 调用authenticate<\/code>方法进行验证<\/li> <\/ol> 3.3 握手与验证过程<\/h3> TeamServer进入SecureServerSocket.this.authenticate<\/code>方法在var4.readInt()<\/code>处阻塞等待Controller发送数据<\/li> <\/ul> <\/li> Controller构造数据包：先写入标志位48879<\/code>(int)<\/li> 写入密码长度(byte)<\/li> 写入密码<\/li> 用65<\/code>填充剩余空间<\/li> 总长度不超过261字节(256+5)<\/li> <\/ul> <\/li> TeamServer验证：检查标志位是否正确<\/li> 读取密码<\/li> 读取填充字符<\/li> 对比密码<\/li> 验证成功则写回标志位51966<\/code><\/li> <\/ul> <\/li> Controller验证返回的标志位<\/li> <\/ol> 4. aggressor.authenticate流程<\/h2> 4.1 TeamServer处理<\/h3> 创建Socket连接<\/li> 创建ManageUser<\/code>对象处理Controller信息<\/li> <\/ol> 4.2 Controller处理<\/h3> 创建TeamQueue<\/code>处理与TeamServer通信构造函数中创建两个线程： TeamReader<\/code>: 读取TeamServer数据<\/li> TeamWriter<\/code>: 向TeamServer发送数据<\/li> <\/ul> <\/li> <\/ul> <\/li> 调用call<\/code>方法发送aggressor.authenticate<\/code> 传递user、pass、版本号组成的对象<\/li> <\/ul> <\/li> call<\/code>方法关键操作：使用addRequest<\/code>将构造好的Request<\/code>对象存入LinkedList<\/code><\/li> TeamWriter<\/code>线程从LinkedList<\/code>中取数据发送<\/li> <\/ul> <\/li> <\/ol> 4.3 请求处理流程<\/h3> TeamServer的ManageUser<\/code>循环等待请求<\/li> 进入process<\/code>方法处理请求根据任务类型执行对应操作<\/li> 验证版本和密码<\/li> <\/ul> <\/li> 验证成功返回SUCCESS<\/code><\/li> 启动BroadcastWriter<\/code>线程<\/li> <\/ol> 4.4 响应处理<\/h3> Controller的TeamReader<\/code>接收响应接收的是Reply<\/code>对象(与Request<\/code>结构相似)<\/li> <\/ul> <\/li> 使用之前存储的callback<\/code>值调用对应类的result<\/code>方法<\/li> 判断返回值为SUCCESS<\/code>后发送aggressor.metadata<\/code><\/li> <\/ol> 5. aggressor.metadata流程<\/h2> Controller调用call<\/code>发送aggressor.metadata<\/code> 参数为当前时间戳<\/li> <\/ul> <\/li> TeamServer的ManageUser<\/code>处理请求执行一系列Map操作<\/li> 返回信息给Controller<\/li> <\/ul> <\/li> Controller处理响应进入Connect<\/code>处理aggressor.metadata<\/code><\/li> 调用AggressorClient.setup<\/code>方法初始化界面<\/li> 发送aggressor.ready<\/code>表示完成<\/li> <\/ul> <\/li> <\/ol> 6. 数据同步流程<\/h2> 6.1 TeamServer处理<\/h3> 在register<\/code>方法中：将user与对应的manageUser<\/code>存入Map<\/li> 调用playback<\/code>处理同步<\/li> <\/ul> <\/li> playback<\/code>方法：计算this.transcripts<\/code>与this.replayme<\/code>总大小<\/li> 调用send<\/code>方法发送数据<\/li> <\/ul> <\/li> send<\/code>方法：通过用户名从Map获取对应的ManageUser<\/code><\/li> 打包信息为Reply<\/code>或Request<\/code>发送<\/li> <\/ul> <\/li> <\/ol> 6.2 Controller处理<\/h3> TeamReader<\/code>接收消息 callback<\/code>为0时进入else分支<\/li> 调用DataManager.result<\/code>方法处理<\/li> <\/ul> <\/li> 判断sent<\/code>与total<\/code>是否相等确认同步是否完成<\/li> <\/ul> <\/li> 遍历并调用对应的result<\/code>方法<\/li> <\/ol> 6.3 数据发送细节<\/h3> TeamServer遍历this.transcripts<\/code>和this.replayme<\/code> 修改当前message信息<\/li> 先发送playback.status<\/code>包<\/li> 再发送Key、Value数据<\/li> 递增sent<\/code>计数器<\/li> <\/ul> <\/li> Controller处理：判断为Data类型进入对应分支<\/li> 非ChangeLog<\/code>类型内容存入Map<\/li> <\/ul> <\/li> 提供当前用户信息给Controller<\/li> <\/ol> 7. 常态化通信<\/h2> TeamServer处理：接收Controller的aggressor.ping<\/code><\/li> BroadcastWriter<\/code>回写Beacons信息<\/li> <\/ul> <\/li> 进入稳定通信状态<\/li> <\/ol> 8. 流程图<\/h2> Controller连接流程: 1. 密码校验 Controller -> [48879标志+密码+填充] -> TeamServer TeamServer -> [51966标志] -> Controller 2. aggressor.authenticate Controller -> [认证请求] -> TeamServer TeamServer -> [SUCCESS] -> Controller 3. aggressor.metadata Controller -> [元数据请求] -> TeamServer TeamServer -> [元数据响应] -> Controller Controller -> [aggressor.ready] -> TeamServer 4. 数据同步 TeamServer -> [同步数据] -> Controller 5. 常态化通信 Controller <-> [ping\/数据交换] <-> TeamServer <\/code><\/pre> 9. 关键数据结构<\/h2> Request<\/strong>: 请求数据结构<\/li> Reply<\/strong>: 响应数据结构<\/li> TeamQueue<\/strong>: 通信队列 TeamReader: 读取线程<\/li> TeamWriter: 写入线程<\/li> <\/ul> <\/li> ManageUser<\/strong>: TeamServer端用户管理 BroadcastWriter: 广播写入线程<\/li> <\/ul> <\/li> <\/ul> 10. 参考实现要点<\/h2> 密码校验使用固定标志位(48879\/51966)<\/li> 通信使用自定义协议封装<\/li> 多线程处理请求和响应<\/li> 回调机制处理异步通信<\/li> 数据同步采用增量方式<\/li> <\/ol> 11. 安全注意事项<\/h2> 密码传输未加密(仅简单填充)<\/li> 固定标志位可能被识别<\/li> 通信协议可被逆向分析<\/li> 缺乏强加密机制<\/li> <\/ol>

CobaltStrike逆向学习系列(1):控制端登陆流程分析 - 教学文档<\/h1>

3. 密码校验详细流程<\/h2>

4. aggressor.authenticate流程<\/h2>

6. 数据同步流程<\/h2>

11. 安全注意事项<\/h2> 密码传输未加密(仅简单填充)<\/li> 固定标志位可能被识别<\/li> 通信协议可被逆向分析<\/li> 缺乏强加密机制<\/li> <\/ol>

11. 安全注意事项<\/h2>

密码传输未加密(仅简单填充)<\/li>
固定标志位可能被识别<\/li>
通信协议可被逆向分析<\/li>
缺乏强加密机制<\/li> <\/ol>