Cobalt Strike Beacon BOF功能开发详解<\/h1>

0x01. 前言<\/h2>
本文详细解析Cobalt Strike Beacon的BOF(Bypass Object File)功能开发，涵盖BOF介绍、开发流程、COFF文件格式解析、重定位处理机制以及Cobalt Strike客户端的处理逻辑。通过本文，您将全面掌握BOF开发的核心技术。<\/p>

0x02. BOF介绍<\/h2>

BOF(Bypass Object File)本质上是一个COFF(Common Object File Format)文件，即编译后但未链接的目标文件(.obj)。在Cobalt Strike中，通过inline-execute<\/code>命令可以将BOF文件加载到Beacon内存中，经过修复后执行。<\/p>

BOF的优势：<\/p>


提高OPSEC(操作安全性)，避免执行高危指令如shell<\/code><\/li>
为红队测试人员提供高度可扩展性<\/li>
内存中执行，减少磁盘痕迹<\/li>
<\/ul>
0x03. BOF开发基础<\/h2>
开发环境准备<\/h3>
可以使用Visual Studio或MinGW进行BOF开发，生成.obj文件。推荐使用以下模板项目：<\/p>

Visual-Studio-BOF-template<\/a><\/li>
Visual-Studio-BOF-template<\/a><\/li>
<\/ul>
基本开发流程<\/h3>

编写C\/C++代码<\/li>
编译生成.obj文件<\/li>
使用PEView等工具查看COFF格式<\/li>
通过inline-execute<\/code>命令执行BOF<\/li>
<\/ol>
0x04. Beacon内部API<\/h2>
BOF可以调用一系列Beacon内部API，这些API分为以下几类：<\/p>
1. Win32 API<\/h3>
主要用于函数动态解析：<\/p>
DECLSPEC_IMPORT WINAPI NETAPI32$<\/span>DsGetDcNameA(...);
<\/span><\/span>DECLSPEC_IMPORT WINAPI NETAPI32$<\/span>NetApiBufferFree(...);
<\/span><\/span><\/code><\/pre>2. 数据解析API<\/h3>

BeaconDataParse<\/li>
BeaconDataPtr<\/li>
<\/ul>
3. 内容格式化API<\/h3>

BeaconFormatAlloc<\/li>
BeaconFormatReset<\/li>
<\/ul>
4. 打印输出API<\/h3>

BeaconOutput<\/li>
BeaconPrintf<\/li>
<\/ul>
5. Beacon内部功能API<\/h3>

BeaconUseToken<\/li>
BeaconRevertToken<\/li>
BeaconSpawnTemporaryProcess<\/li>
<\/ul>
6. 辅助性API<\/h3>

toWideChar<\/li>
<\/ul>
0x05. COFF文件格式详解<\/h2>
文件头结构<\/h3>
typedef<\/span> struct<\/span> _IMAGE_FILE_HEADER {
<\/span><\/span>    WORD    Machine;              \/\/ 目标机器类型(0x14C=x86, 0x8664=x64)
<\/span><\/span><\/span><\/span>    WORD    NumberOfSections;     \/\/ 节区数量
<\/span><\/span><\/span><\/span>    DWORD   TimeDateStamp;        \/\/ 时间戳
<\/span><\/span><\/span><\/span>    DWORD   PointerToSymbolTable; \/\/ 符号表指针
<\/span><\/span><\/span><\/span>    DWORD   NumberOfSymbols;      \/\/ 符号数量
<\/span><\/span><\/span><\/span>    WORD    SizeOfOptionalHeader;
<\/span><\/span>    WORD    Characteristics;
<\/span><\/span>} IMAGE_FILE_HEADER;
<\/span><\/span><\/code><\/pre>节表结构<\/h3>
typedef<\/span> struct<\/span> _IMAGE_SECTION_HEADER {
<\/span><\/span>    BYTE    Name[8<\/span>];              \/\/ 节区名称(UTF-8编码，占满8字节)
<\/span><\/span><\/span><\/span>    union<\/span> {
<\/span><\/span>        DWORD   PhysicalAddress;
<\/span><\/span>        DWORD   VirtualSize;
<\/span><\/span>    } Misc;
<\/span><\/span>    DWORD   VirtualAddress;       \/\/ COFF中通常为0
<\/span><\/span><\/span><\/span>    DWORD   SizeOfRawData;        \/\/ 节在文件中的大小
<\/span><\/span><\/span><\/span>    DWORD   PointerToRawData;     \/\/ 节数据在文件中的位置
<\/span><\/span><\/span><\/span>    DWORD   PointerToRelocations; \/\/ 重定位条目指针
<\/span><\/span><\/span><\/span>    DWORD   PointerToLinenumbers; \/\/ 行号条目指针
<\/span><\/span><\/span><\/span>    WORD    NumberOfRelocations;  \/\/ 重定位条目数
<\/span><\/span><\/span><\/span>    WORD    NumberOfLinenumbers;  \/\/ 行号条目数
<\/span><\/span><\/span><\/span>    DWORD   Characteristics;      \/\/ 节属性
<\/span><\/span><\/span><\/span>} IMAGE_SECTION_HEADER;
<\/span><\/span><\/code><\/pre>重定位表结构<\/h3>
typedef<\/span> struct<\/span> _IMAGE_RELOCATION {
<\/span><\/span>    union<\/span> {
<\/span><\/span>        DWORD   VirtualAddress;   \/\/ 重定位地址偏移(相对于当前节基址)
<\/span><\/span><\/span><\/span>        DWORD   RelocCount;       \/\/ 重定位计数
<\/span><\/span><\/span><\/span>    };
<\/span><\/span>    DWORD   SymbolTableIndex;     \/\/ 符号表索引
<\/span><\/span><\/span><\/span>    WORD    Type;                 \/\/ 重定位类型
<\/span><\/span><\/span><\/span>} IMAGE_RELOCATION;
<\/span><\/span><\/code><\/pre>重定位类型(x64架构)<\/h3>



类型值<\/th>
名称<\/th>
描述<\/th>
<\/tr>
<\/thead>


1<\/td>
IMAGE_REL_AMD64_ABSOLUTE<\/td>
绝对地址<\/td>
<\/tr>

2<\/td>
IMAGE_REL_AMD64_ADDR64<\/td>
64位绝对地址<\/td>
<\/tr>

3<\/td>
IMAGE_REL_AMD64_ADDR32<\/td>
32位绝对地址<\/td>
<\/tr>

4<\/td>
IMAGE_REL_AMD64_REL32<\/td>
32位相对地址<\/td>
<\/tr>

5<\/td>
IMAGE_REL_AMD64_REL32_1<\/td>
32位相对地址(偏移1字节)<\/td>
<\/tr>

6<\/td>
IMAGE_REL_AMD64_REL32_2<\/td>
32位相对地址(偏移2字节)<\/td>
<\/tr>

7<\/td>
IMAGE_REL_AMD64_REL32_3<\/td>
32位相对地址(偏移3字节)<\/td>
<\/tr>

8<\/td>
IMAGE_REL_AMD64_REL32_4<\/td>
32位相对地址(偏移4字节)<\/td>
<\/tr>

9<\/td>
IMAGE_REL_AMD64_REL32_5<\/td>
32位相对地址(偏移5字节)<\/td>
<\/tr>
<\/tbody>
<\/table>
符号表结构<\/h3>
typedef<\/span> struct<\/span> _IMAGE_SYMBOL {
<\/span><\/span>    union<\/span> {
<\/span><\/span>        BYTE    ShortName[8<\/span>];     \/\/ 符号名(≤8字节)
<\/span><\/span><\/span><\/span>        struct<\/span> {
<\/span><\/span>            DWORD   Short;        \/\/ 前4字节为0
<\/span><\/span><\/span><\/span>            DWORD   Long;         \/\/ 后4字节为字符表偏移
<\/span><\/span><\/span><\/span>        } Name;
<\/span><\/span>    };
<\/span><\/span>    DWORD   Value;                \/\/ 符号在节中的偏移或绝对偏移
<\/span><\/span><\/span><\/span>    SHORT   SectionNumber;        \/\/ 符号所属节区号
<\/span><\/span><\/span><\/span>    WORD    Type;                 \/\/ 符号类型(0x0=非函数,0x20=函数)
<\/span><\/span><\/span><\/span>    BYTE    StorageClass;         \/\/ 存储类
<\/span><\/span><\/span><\/span>    BYTE    NumberOfAuxSymbols;  \/\/ 辅助符号数
<\/span><\/span><\/span><\/span>} IMAGE_SYMBOL;
<\/span><\/span><\/code><\/pre>存储类(StorageClass)<\/h3>



值<\/th>
名称<\/th>
描述<\/th>
<\/tr>
<\/thead>


2<\/td>
EXTERNAL<\/td>
外部符号<\/td>
<\/tr>

3<\/td>
STATIC<\/td>
静态符号<\/td>
<\/tr>

6<\/td>
LABEL<\/td>
标签符号<\/td>
<\/tr>
<\/tbody>
<\/table>
0x06. Cobalt Strike客户端处理流程<\/h2>
1. 客户端处理步骤<\/h3>

Coff文件内容传入PostExInlineObject#go<\/code>函数<\/li>
调用OBJExecutable#parse<\/code>解析COFF文件<\/li>
构造数据包，包含：

命令号<\/li>
obj入口函数(go)<\/li>
.text段数据长度+内容<\/li>
.rdata段数据长度+内容<\/li>
.data段数据长度+内容<\/li>
重定位信息<\/li>
入口函数参数<\/li>
<\/ul>
<\/li>
<\/ol>
2. 重定位信息结构<\/h3>
客户端通过OBJExecutable#getRelocation<\/code>返回的重定位信息结构：<\/p>



类型值<\/th>
描述<\/th>
<\/tr>
<\/thead>


1024<\/td>
重定位位置在.rdata区段<\/td>
<\/tr>

1027<\/td>
重定位对应外部函数<\/td>
<\/tr>

1028<\/td>
重定位信息结束标识符<\/td>
<\/tr>
<\/tbody>
<\/table>
3. Beacon端处理流程<\/h3>

解析数据包内容<\/li>
分配内存(初始RW，后改为RWX)<\/li>
处理重定位信息<\/li>
执行BOF<\/li>
<\/ol>
关键处理函数：<\/p>

processRelocation<\/code>: 处理重定位<\/li>
FindOrAddDynamicFunction<\/code>: 查找或添加动态函数<\/li>
<\/ul>
0x07. BOF开发常见问题<\/h2>
1. 未初始化的全局变量<\/h3>
问题：Cobalt Strike 4.4客户端未处理.bss段

解决方案：避免使用未初始化的全局变量<\/p>
2. Windows API调用崩溃<\/h3>
问题：堆不匹配导致崩溃

解决方案：使用正确的堆分配方式<\/p>
\/\/ 正确分配方式
<\/span><\/span><\/span><\/span>char<\/span>*<\/span> buffer =<\/span> (char<\/span>*<\/span>)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, size);
<\/span><\/span>
<\/span><\/span>\/\/ 正确释放方式
<\/span><\/span><\/span><\/span>HeapFree(GetProcessHeap(), 0<\/span>, buffer);
<\/span><\/span><\/code><\/pre>3. 堆栈扩展问题<\/h3>
问题：缺少_chkstk_ms辅助函数

解决方案：避免使用大量栈空间(>4KB)<\/p>
4. 大型switch语句崩溃<\/h3>
问题：BOF只适合小型switch语句

解决方案：改用if\/else结构<\/p>
5. x64下全局变量错误<\/h3>
问题：编译器优化导致全局变量位置错误

解决方案：添加额外的非零全局变量打乱对齐<\/p>
0x08. 总结<\/h2>
本文详细介绍了BOF开发的全流程，从基础概念到COFF文件格式解析，再到Cobalt Strike客户端的处理机制。关键点包括：<\/p>

BOF本质是未链接的COFF文件<\/li>
COFF文件格式的详细结构解析<\/li>
重定位处理的核心机制<\/li>
Beacon内部API的分类和使用<\/li>
常见问题及解决方案<\/li>
<\/ol>
通过掌握这些知识，您可以开发出高效、稳定的BOF功能模块，提升红队测试的灵活性和隐蔽性。<\/p>

Cobalt Strike Beacon BOF功能开发详解<\/h1>

0x01. 前言<\/h2> 本文详细解析Cobalt Strike Beacon的BOF(Bypass Object File)功能开发，涵盖BOF介绍、开发流程、COFF文件格式解析、重定位处理机制以及Cobalt Strike客户端的处理逻辑。通过本文，您将全面掌握BOF开发的核心技术。<\/p>

0x03. BOF开发基础<\/h2>

0x04. Beacon内部API<\/h2> BOF可以调用一系列Beacon内部API，这些API分为以下几类：<\/p>

0x05. COFF文件格式详解<\/h2>

0x06. Cobalt Strike客户端处理流程<\/h2>

0x07. BOF开发常见问题<\/h2>

1. 未初始化的全局变量<\/h3> 问题：Cobalt Strike 4.4客户端未处理.bss段 解决方案：避免使用未初始化的全局变量<\/p>

3. 堆栈扩展问题<\/h3> 问题：缺少_chkstk_ms辅助函数 解决方案：避免使用大量栈空间(>4KB)<\/p>

4. 大型switch语句崩溃<\/h3> 问题：BOF只适合小型switch语句 解决方案：改用if\/else结构<\/p>

5. x64下全局变量错误<\/h3> 问题：编译器优化导致全局变量位置错误 解决方案：添加额外的非零全局变量打乱对齐<\/p>

0x01. 前言<\/h2>
本文详细解析Cobalt Strike Beacon的BOF(Bypass Object File)功能开发，涵盖BOF介绍、开发流程、COFF文件格式解析、重定位处理机制以及Cobalt Strike客户端的处理逻辑。通过本文，您将全面掌握BOF开发的核心技术。<\/p>

0x04. Beacon内部API<\/h2>
BOF可以调用一系列Beacon内部API，这些API分为以下几类：<\/p>

1. 未初始化的全局变量<\/h3>
问题：Cobalt Strike 4.4客户端未处理.bss段
解决方案：避免使用未初始化的全局变量<\/p>

3. 堆栈扩展问题<\/h3>
问题：缺少_chkstk_ms辅助函数
解决方案：避免使用大量栈空间(>4KB)<\/p>

4. 大型switch语句崩溃<\/h3>
问题：BOF只适合小型switch语句
解决方案：改用if\/else结构<\/p>

5. x64下全局变量错误<\/h3>
问题：编译器优化导致全局变量位置错误
解决方案：添加额外的非零全局变量打乱对齐<\/p>