CobaltStrike逆向学习系列(15)：CS功能分析-BOF

这是[信安成长计划]的第 15 篇文章

0x00 目录

0x01 BOF功能分析

0x02 BOF功能执行

0x03 写在最后

其实在看过 RDI 与 DotNet 功能执行之后，BOF 的执行基本就不用再说了，唯一需要提及的可能就是它所包含的技术，而且相关的文章和代码也都很丰富了

0x01 BOF功能分析

在 CS 中，有相当一部分功能都是 BOF 形式的，我们随意选择一个

它继承了 PostExInlineObject 类，需要自己实现的并不多，但实际上，一些函数还是自己实现的好

在实际调用的时候，会先获取到 beacon 的 payload 和架构，然后一起传入后，调用了 go

在 go 函数里，首先会获取到需要执行的 bof 文件，然后对其进行解析

在其中他会获取执行函数，默认执行的函数是 go

这里就可以自己实现这个函数，让名字按照自己的想法来走

之后会对一些关键的位置进行解析，OBJ 实际上就是编译后但未链接的目标文件，这里就是把一些关键的节都取出来

然后接着就进行了任务的构建和发送，在构建的时候就将关键的信息都做成了一段数据，并不是将整个 OBJ 文件直接发送过去

最后一个放入的是参数，在我们当前这个 BOF 功能中，参数就是 beacon 的 payload，用于 BypassUAC 之后直接上线的

再结合之前的 DotNet 的操作，可以发现，参数是非常重要的，也是非常便于扩展的，我们可以定制自己想要的方式，然后将其他的内容通过参数传递过去，只需要在接受的时候进行处理就好了，后期的扩展性是很好的

0x02 BOF功能执行

这里就不跟了，任务号是 100，感兴趣的可以去看看

其中所使用的技术，有很多文章和开源代码了，直接参照这些会更舒服一点

直接来看 COFFLoader 就可以了

https://www.trustedsec.com/blog/coffloader-building-your-own-in-memory-loader-or-how-to-run-bofs/

https://github.com/trustedsec/COFFLoader

WBGlIl 的文章也是非常好的参考

https://wbglil.gitbook.io/cobalt-strike/cobalt-strike-yuan-li-jie-shao/untitled-3

0x03 写在最后

虽然这三种执行方式的细节点都直接略过了，实际上它们中间能够进行的修改操作还是可以有很多的，有一些细节是可以再优化一下了，不过整体来说，CS 是真的强，整体的代码规划和设计非常的完善，要在上面新增一些功能或者做一些改动都是非常方便的。