当前位置：首页 > article >正文

CobaltStrike BOF实战：手把手教你编写一个内存传参的信息收集工具

article 2026/5/5 13:39:30

CobaltStrike BOF开发实战构建高效内存传参的信息收集工具在红队行动和内网渗透测试中无文件化执行已成为规避检测的关键策略。CobaltStrike的Beacon Object FileBOF技术允许我们直接在内存中加载和执行自定义功能模块无需在目标磁盘留下任何痕迹。本文将深入探讨如何开发一个能够接收复杂参数、执行特定信息收集任务并格式化输出的BOF工具解决实际渗透中常见的参数传递难题。1. BOF开发环境与核心机制解析1.1 现代化BOF开发环境搭建推荐使用集成了最新Windows API封装的开发模板大幅降低开发复杂度# 克隆优化后的BOF开发模板 git clone https://github.com/evilashz/Visual-Studio-BOF-template该模板具有以下优势模块化头文件组织按DLL分类的API定义如kernel32.h、advapi32.h完整的API前缀处理自动添加KERNEL32$等前缀调试支持包含本地测试用的main函数实现关键文件说明文件用途重要性beacon.hBeacon交互API定义★★★★★bofdefs.hWindows API宏定义★★★★☆debug.h调试输出工具★★★☆☆1.2 BOF执行模型深度剖析BOF运行在特殊的受限环境中无标准库支持不能直接使用printf等传统C函数受限API调用必须通过Beacon提供的封装函数独立内存空间每个BOF运行在隔离的堆栈中典型执行流程Beacon将BOF.obj文件加载到内存解析导出符号并验证兼容性初始化临时执行环境调用go入口函数清理执行现场内存管理要点// 错误做法大数组导致堆栈溢出 WCHAR output[4096]; // 正确做法使用堆内存 WCHAR *output (WCHAR *)HeapAlloc( GetProcessHeap(), HEAP_ZERO_MEMORY, 4096 * sizeof(WCHAR) );2. 高级参数传递技术实战2.1 传统参数传递的局限性原始inline-execute命令存在以下问题无法直接传递字符串参数缺乏结构化数据支持参数长度受限2.2 使用bof_pack实现复杂参数传递通过Aggressor Script的打包函数实现灵活传参// CNA脚本示例 sub custom_bof { $bof info_collect.obj; $args bof_pack( zz, // 格式字符串 admin, // 第一个字符串参数 Pssw0rd123 // 第二个字符串参数 ); beacon_inline_execute($1, $bof, go, $args); }格式字符串说明符号数据类型字节大小bbyte1z字符串变长iint324wint6482.3 内存中的参数解析技术在BOF中正确解析打包参数void go(char* buff, int len) { datap parser; char *arg1, *arg2; // 初始化解析器 BeaconDataParse(parser, buff, len); // 提取参数 arg1 BeaconDataExtract(parser, NULL); arg2 BeaconDataExtract(parser, NULL); // 使用参数执行操作 BeaconPrintf(CALLBACK_OUTPUT, User: %s, arg1); BeaconPrintf(CALLBACK_OUTPUT, Hash: %s, arg2); }参数解析常见问题排查检查格式字符串与参数类型匹配验证缓冲区长度与实际数据一致确保使用正确的字节序3. 实战内存驻留型信息收集工具开发3.1 设计架构与功能规划典型信息收集BOF应包含目标系统信息采集OS版本、补丁等网络配置枚举接口、路由、ARP表进程与服务分析带签名的运行中进程用户与权限检查特权组、登录会话数据结构设计示例typedef struct _TARGET_INFO { DWORD pid; WCHAR username[64]; WCHAR hostname[MAX_COMPUTERNAME_LENGTH 1]; DWORD is_admin; } TARGET_INFO;3.2 关键API的安全调用方法通过BOF安全调用Windows API// 获取系统版本信息示例 void get_os_info() { OSVERSIONINFOEX osInfo {0}; osInfo.dwOSVersionInfoSize sizeof(OSVERSIONINFOEX); if(KERNEL32$GetVersionEx((OSVERSIONINFO*)osInfo)) { BeaconPrintf(CALLBACK_OUTPUT, OS Version: %d.%d Build %d, osInfo.dwMajorVersion, osInfo.dwMinorVersion, osInfo.dwBuildNumber ); } }API调用最佳实践总是检查API返回值使用安全的缓冲区大小及时释放分配的资源最小化API调用痕迹3.3 输出格式化与结果返回高级结果格式化技术void format_output(TARGET_INFO *info) { formatp formatter; char *output; BeaconFormatAlloc(formatter, 1024); BeaconFormatAppend(formatter, Scan Result:\n PID: %d\n User: %s\n Host: %s\n Admin: %s, info-pid, info-username, info-hostname, info-is_admin ? Yes : No ); output BeaconFormatToString(formatter); BeaconPrintf(CALLBACK_OUTPUT, output); BeaconFormatFree(formatter); }输出优化技巧使用BeaconFormat系列函数构建复杂输出对敏感信息进行模糊处理支持多种输出格式CSV、JSON等4. 高级技巧与实战优化4.1 内存操作性能优化对比不同内存分配策略方法优点缺点适用场景局部变量速度快大小受限小数据块HeapAlloc灵活可控需手动管理大数据块Beacon API集成度高功能有限中间数据性能敏感代码示例// 高效内存拷贝实现 void fast_memcpy(void *dst, const void *src, size_t len) { __movsb(dst, src, len); }4.2 错误处理与稳定性增强健壮的错误处理框架#define CHECK_API(api, msg) \ if(!api) { \ BeaconPrintf(CALLBACK_ERROR, \ API %s not found: %s, #api, msg); \ return FALSE; \ } BOOL safe_operation() { CHECK_API(KERNEL32$GetSystemInfo, Critical API); // 实际操作代码 return TRUE; }4.3 对抗检测技术集成常见规避检测技术实现// API调用混淆示例 typedef NTSTATUS (NTAPI* pNtQuerySystemInformation)( ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); void stealthy_query() { pNtQuerySystemInformation NtQuerySystemInformation (pNtQuerySystemInformation)BeaconGetFunctionAddress( ntdll.dll, NtQuerySystemInformation); // 使用函数指针调用 if(NtQuerySystemInformation) { /* ... */ } }规避检测策略动态解析API地址使用非常用API替代常见功能引入随机延迟混淆字符串和算法5. 实战案例注册表键值扫描器完整实现一个可接收参数的注册表扫描BOFvoid go(char *args, int len) { datap parser; WCHAR *regPath, *valueName; HKEY hKey NULL; DWORD type, size; BYTE *data NULL; // 解析参数 BeaconDataParse(parser, args, len); regPath (WCHAR*)BeaconDataExtract(parser, NULL); valueName (WCHAR*)BeaconDataExtract(parser, NULL); // 打开注册表键 if(ADVAPI32$RegOpenKeyExW( HKEY_LOCAL_MACHINE, regPath, 0, KEY_READ, hKey) ERROR_SUCCESS) { // 查询值大小 ADVAPI32$RegQueryValueExW( hKey, valueName, NULL, type, NULL, size); // 分配缓冲区并读取值 data HeapAlloc(GetProcessHeap(), 0, size); if(ADVAPI32$RegQueryValueExW( hKey, valueName, NULL, type, data, size) ERROR_SUCCESS) { // 格式化输出结果 format_output_registry(type, data, size); } HeapFree(GetProcessHeap(), 0, data); ADVAPI32$RegCloseKey(hKey); } }配套的CNA调用脚本alias regscan { $bof regscan.obj; $path SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion; $value ProductName; $args bof_pack(zz, $path, $value); foreach $bid ($1) { beacon_inline_execute($bid, $bof, go, $args); } }在开发这类工具时我发现最常遇到的问题是大内存分配导致的稳定性问题。通过将大块操作分解为多个小请求并加入适当的错误恢复机制可以显著提高BOF在复杂环境下的可靠性。另一个实用技巧是使用BeaconAddValue和BeaconGetValue函数在多次BOF调用间保持状态这对于需要分阶段执行的复杂信息收集任务特别有用。

CobaltStrike BOF实战：手把手教你编写一个内存传参的信息收集工具

相关文章：

CobaltStrike BOF实战：手把手教你编写一个内存传参的信息收集工具

9种RAG架构详解：新手程序员必备，附完整指南及收藏技巧

歌词滚动姬：零基础制作专业LRC歌词的终极方案

别再死记硬背格林公式了！用‘势场’物理直觉，5分钟搞懂曲线积分与路径无关

3分钟快速上手：如何在Mac上免费获得专业级系统音频均衡器体验？

避坑指南：UniApp里用uCharts遇到的3个典型Bug及我的解决思路

深度解析：基于LCU API的英雄联盟自动化工具集核心技术原理与实战指南

告别正版验证烦恼：用MultiLogin插件让你的Minecraft服务器同时支持正版和皮肤站玩家

5个平台无缝切换！PiliPlus：你的跨平台B站观影终极解决方案

WeBASE部署后，如何用Solidity写一个资产管理合约并完成前端交互测试？

Dism++终极指南：如何用免费工具快速解决Windows系统卡顿和磁盘空间不足问题

EasyExcel 凉了？FastExcel 又“改名“了？这次它进了 Apache，再不会跑了！

QTableWidget样式踩坑实录：为什么你的QSS设置了却没生效？（附排查清单）

开源直流电源监控器PwrTool 500解析与应用

大语言模型微调实战：从LoRA到QLoRA的高效适配策略

对比直接使用官方API体验Taotoken聚合服务在接入便捷性上的优势

OpenLyrics：foobar2000终极歌词插件完整指南

终极跨平台B站客户端PiliPlus：5分钟开启高效观影新体验

[具身智能-581]：AI 七层产业栈（AI Industry Stack）

如何用免费开源工具5分钟搞定Windows风扇控制：打造静音高效散热系统

信号与系统学不进去？试试用这6组期中选择题自测你的知识盲区

DDrawCompat：Windows 11上经典游戏兼容性修复的终极方案

4大核心功能解锁鸣潮新体验：WaveTools工具箱完全指南

别再为公式排版发愁了！手把手教你搞定MathType 7.6中文版安装与Word嵌入（附7.4/7.6双版本保姆级教程）

微信聊天记录永久保存完全指南：3步实现数据自主掌控

Debian 12 + VMware 17保姆级避坑指南：从换源到多版本JDK，一次搞定开发环境

蓝桥杯单片机DS18B20温度读取避坑指南：从函数名拼错到数码管显示的完整流程

告别KNN和RPE：Point Transformer V3如何用‘空间填充曲线’和‘补丁注意力’实现3倍速与10倍内存效率提升？

如何用Stream-Translator轻松打破语言壁垒：实时直播翻译的终极指南

emilianJR/chilloutmix_NiPrunedFp32Fix多语言支持：跨文化创意表达的终极指南