geacon

Verwenden Sie GO, um das Leuchtfeuer von Cobaltstrike zu implementieren

Dieses Projekt dient nur zur Lernprotokollanalyse und zur Reverse Engineering

1. Richten Sie den TeamServer ein und starten Sie einen HTTP -Lisenter, der TeamServer generiert die Datei .cobaltstrike.beacon_keys .
2. Kompilieren Sie die Beacontool mit der Jetbrains -Idee, verwenden Sie den Befehl java -jar BeaconTool.jar um Java Keystore in das PEM -Format umzuwandeln.
3. Ersetzen Sie das RSA -Schlüsselpaar in der Datei cmd/config/config.go (der private RSA -Schlüssel ist nicht erforderlich, ich habe es in den Code nur für den Datensatz geschrieben).
4. Kompilieren Sie die Geokon -Plattform, die Sie ausführen möchten: Verwenden Sie beispielsweise den Befehl export GOOS="darwin" && export GOARCH="amd64" && go build cmd/main.go , um einen ausführbaren Binary zu kompilieren, der auf MacOS ausgeführt wird.
5. Spaß haben! PR und Problem sind willkommen;)
6. Geon wurde gerade auf Cobaltstrike 3.14 getestet und unterstützt nur die Standard -C2profile, so viele Hardcode im Projekt, und ich werde in diesem Moment nicht versuchen, mehr C2Profile -Unterstützung zu implementieren.
7. Vielen Dank für den PR von @xxxxxyyyy , und jetzt unterstützt Geacon Cobaltstrike 4.0 , bitte überprüfen Sie die Filiale 4.0 um zu kompilieren.
8. Der Branch master von Geon unterstützt Cobaltstrike 4.1 , derzeit verfügbare Funktionen umfassen: Ausführung von Befehlen, Hochladen, Herunterladen, Dateibrowser, Umschalten des aktuellen Arbeitsverzeichnisses und Verlassen des aktuellen Vorgangs.
9. Geoncon konzentriert sich nur auf die Protokollanalyse. Wenn Sie jedoch mehr Funktionen erleben möchten, können Sie ein anderes Projekt unserer Partner verwenden. Schauen Sie sich jetzt CrossC2 an!

Holen Sie sich die Befehlsausführungsergebnisse des Geoncon unter Linux.

Um fortzufahren, werde ich aktualisieren, sobald ich Zeit habe ...

1. Unterstützen Sie Cobaltstrike 4.x

2. Beheben Sie das OS -Symbolproblem in der Sitzungstabelle

3. String -Codierungsproblem

_Darkray@redcore