Cobalt-Strike-4.5

beacon> help remote-exec Use: remote-exec [方法] [目标] [命令] 使用指定的 [方法] 在 [目标] 上执行 [命令] 单独输入 "remote-exec" 可以查看 [方法] 列表 beacon> help blockdlls Use: blockdlls [start|stop] 使用二进制签名策略启动子进程，该策略会阻止非Microsoft DLL加载到子进程中 使用 "blockdlls stop" 来禁用该策略 此功能需要Windows 10 / Windows Server 2012或更高版本 beacon> help argue Use: argue [命令] [假参数] argue [命令] argue 当Beacon启动 [命令] 进程时，设置其命令行参数为 [假参数]，用于欺骗EDR等软件采集到的命令行参数 这个选项不会影响 runu/spawnu、 runas/spawnas 以及 post-ex 任务 使用 "argue [命令]" 来禁用针对特定 [命令] 的参数伪装功能 单独输入 "argue" 可以列出所有定义了命令行参数伪装的程序 beacon> help runasadmin Use: runasadmin [利用程序] [命令] [参数] 尝试以高权限（过UAC）运行指定的[命令] 单独输入 "runasadmin" 可以查看所有可用的本地 [利用程序] beacon> help setenv Use: setenv [变量] [值] 设置环境变量 beacon> help reg Use: reg query [x86|x64] [根\路径] reg queryv [x86|x64] [根\路径] [子项] 使用 "query" 查询注册表中的键，会列出所有子项和值 使用 "queryv" 查询注册表中的子项，仅列出子项及其值 使用 HKLM, HKCR, HKCC, HKCU 或 HKU 来指定根 指定 x86|x64 来强制查看特定的注册表 beacon> help execute-assembly Use: execute-assembly [/本地绝对路径/file.exe] [参数] 在目标上执行本地.NET程序，此命令会在一个临时进程中加载CLR并将.NET程序加载到其中运行 beacon> help dllload Use: dllload [pid] [c:\目标上路径\file.dll] Load DLL into specified remote process via LoadLibrary(). The DLL must exist on the target. 通过 LoadLibrary() 将DLL加载到指定的远程进程中，DLL必须在目标机器上存在 beacon> help getprivs Use: getprivs 在当前访问令牌上启用尽可能多的系统特权 beacon> help kerberos_ticket_purge Use: kerberos_ticket_purge 清除当前会话中的kerberos票据 beacon> help kerberos_ccache_use Use: kerberos_ccache_use [/本地绝对路径/file.ccache] 将Kerberos票据从本地ccache文件应用于当前会话 beacon> help kerberos_ticket_use Use: kerberos_ticket_use [/本地绝对路径/file.ticket] 将Kerberos票据从本地ticket文件应用于当前会话 beacon> help kill Use: kill [进程pid] 杀死指定的进程 beacon> help ps Use: ps 显示进程列表 beacon> help timestomp Use: timestomp [文件A] [文件B] 修改文件A的修改时间、访问时间和创建时间为文件B的时间 beacon> help getuid Use: getuid 打印与当前访问令牌关联的用户ID beacon> help rev2self Use: rev2self 还原为原始访问令牌 beacon> help steal_token Use: steal_token [pid] 从进程中窃取访问令牌 beacon> help getsystem Use: getsystem 尝试获得SYSTEM权限 beacon> help link Use: link [目标] [管道名] link [目标] 连接SMB Beacon并建立控制通道，所有对于SMB Beacon的命令请求都将通过当前Beacon会话 可以指定一个显式的 [管道名] 以连接到特定管道。否则，将使用当前配置文件中的默认管道名 beacon> help unlink Use: unlink [ip地址] unlink [ip地址] [pid] 断开与SMB 命名管道或TCP Beacon的连接 指定IP地址或IP地址以及会话PID来断开特定Beacon的连接 beacon> help connect Use: connect [目标] connect [目标] [端口] 连接TCP Beacon并建立控制通道。所有对于TCP Beacon的命令请求都将通过当前Beacon会话 使用 "unlink" 命令来断开TCP Beacon beacon> help cd Use: cd [目录] 更改目标主机上的目录 beacon> help checkin Use: checkin 强制DNS Beacon回连并更新状态，Beacon会上传其主机元数据及键盘记录信息 beacon> help clear Use: clear 清空Beacon任务队列 beacon> help download Use: download [file] 下载一个文件，可以到 视图->下载列表 中看到下载成功的文件列表 beacon> help shell Use: shell [命令] [参数] 使用cmd.exe执行命令 beacon> help powershell Use: powershell [cmdlet] [参数] 使用powershell执行命令 最后一次使用powershell-import导入的任何cmdlet也可以在这里使用 beacon> help powershell-import Use: powershell-import [/本地绝对路径/script.ps1] 从本地导入一个powershell脚本，后续powershell/powerpick命令可以 调用该脚本中的cmdlet。一次只能使用一个导入脚本，再次导入会覆盖之前的脚本 beacon> help execute Use: execute [程序] [参数] 执行程序，不会阻塞当前进程，也不会返回输出 beacon> help run Use: run [程序] [参数] 执行程序，返回程序输出 beacon> help exit Use: exit 终止当前beacon会话 beacon> help help Use: help [命令] 显示命令帮助 beacon> help inject Use: inject [pid] <x86|x64> [监听器] 打开 [pid] 指定的进程并注入运行从 [监听器] 生成的shellcode beacon> help shinject Use: shinject [pid] <x86|x64> [/本地绝对路径/my.bin] 打开 [pid] 指定的进程并注入运行本地shellcode文件 beacon> help shspawn Use: shspawn <x86|x64> [/本地绝对路径/my.bin] 新建傀儡进程，并注入运行本地shellcode文件 beacon> help dllinject Use: dllinject [pid] [/本地绝对路径/my.dll] 打开 [pid] 指定的进程并注入一个反射加载的本地DLL文件 beacon> help keylogger Use: keylogger [pid] [x86|x64] keylogger 将键盘记录器注入 [pid] 指定的进程 使用不带任何参数的 [keylogger] 命令会创建一个临时傀儡过程，并将键盘记录器注入其中 终止键盘记录：使用 [jobs] 命令查找任务ID，然后使用 [jobkill] 命令结束任务 beacon> help message Use: message [消息] 给用户弹出一条消息，这是一个傻逼命令 beacon> help mode Use: mode [dns|dns6|dns-txt] 设置Beacon的数据交换模式，仅对DNS Beacon有用 dns模式 -------- 使用DNS A记录请求获取任务。如果不能使用TXT记录，则使用此选项与DNS通信 该模式将数据编码在DNS请求的hostname中进行传输 dns6模式 --------- 使用DNS AAAA记录请求获取任务。如果不能使用TXT记录，则使用此选项与DNS通信 该模式将数据编码在DNS请求的hostname中进行传输 dns-txt模式 ------------ 使用DNS TXT记录请求获取任务。该通道每个请求携带189个字节，而DNS A记录请求 仅为4个字节，使用与其他DNS模式相同的技术发送数据 beacon> help socks Use: socks [stop|port] 在指定端口上启动SOCKS4a代理服务器，该服务器将通过当前Beacon中继网络连接 使用 "socks stop" 命令停止SOCKS4a代理服务器 Beacon会话处于睡眠状态时，流量不会中继。 使用 "sleep" 命令更改睡眠时间以减少延迟 beacon> help sleep Use: sleep [时间(秒)] <抖动> 更改Beacon回连的间隔睡眠时间。 使用 "sleep 0" 命令可强制Beacon每秒多次回连（实时交互） 指定一个抖动值（0-99）可以让Beacon随机更改其睡眠时间 beacon> help spawn Use: spawn [x86|x64] [监听器] spawn [监听器] 创建一个x86或x64傀儡进程，并注入运行从 [监听器] 生成的shellcode beacon> help spawnto Use: spawnto [x86|x64] [c:\目标上路径\whatever.exe] 设置Beacon创建傀儡进程时使用的可执行文件路径，必须指定完整路径 支持使用环境变量（例如％windir％\sysnative\rundll32.exe） 请勿直接使用 "%windir%\system32\"，该路径会根据Beacon是x86还是x64而解析成不同的绝对路径 x64请使用 "%windir%\sysnative\" x86请使用 "%windir%\syswow64\" 当WOW64不存在时，Beacon将会把 "%windir%\syswow64\" 映射到 system32 beacon> help upload Use: upload [/本地绝对路径/file] 上传一个文件到目标机器 beac