【互动赢奖】实战教学：Cobalt Strike大批部署（一）——5.1 版本上线步骤详解

5.1节引用参考：https://www.secpulse.com/archives/165561.html

攻击者利用CS Server生成新的Beacon监听（包括一对非对称公私钥）并生成Stager；

攻击者投递Stager到受控主机；

受控主机在Exploit阶段执行小巧的Stager；

受控主机根据Stager UrI请求特征向Beacon Staging Server下载体积较大更复杂的Stage到本地，Beacon Staging Server会校验UrI的合法性；

Stage解密并解析Beacon配置信息（比如公钥PublicKey、C2 Server信息）；

Stage通过公钥PublicKey加密主机的元数据并发送至C2 Server；

C2 Server用私钥解密数据获取主机元数据。

从上述流程中，我们能Get到2个核心点：

- Stager Uri校验算法

- Beacon配置的解密算法