当前位置：首页>Linux>Linux一句话上线 + 上线提醒机器人 + 全新BOF SleepMask 对标Cobalt Strike4.9.1 | Cobalt Strike 1.9正式发布!

Linux一句话上线 + 上线提醒机器人 + 全新BOF SleepMask 对标Cobalt Strike4.9.1 | Cobalt Strike 1.9正式发布!

2026-01-22 12:43:35

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统以及盈利等目的，一切后果由操作者自行承担！！！

工具介绍

此次CobaltStrike1.9版本采用go语言完全重构服务端，使用CobaltStrike 4.5源码进行重构。具备更好的免杀性以及更好防探测功能。新版本同时新增Linux、mac上线功能，而是将功能集成到服务端中，客户端只需要简单配置，即可生成一体式二进制程序。同时感谢各位的师傅提交的bug以及建议。获取方式：纷传内部获取。

功能特性概述

跨平台支持

全平台兼容：支持 Windows、Linux、MacOS 系统一键上线
客户端环境：提供 Windows 、Linux、MacOS 生成上线
代理功能：支持 Windows、Linux、Mac 全平台 SOCKS5 代理

通信与上线机制

多协议支持：支持 HTTP、HTTPS、DNS、ExtC2、SMB、TCP 及 TCP 转发等多种上线方式
SSH 增强：改进 SSH Agent，支持账号密码或密钥方式上线最新 Linux 系统
安全防护：新增 IP 黑名单功能，支持主动拉黑或自动屏蔽异常请求

安全与隐蔽性

服务端重构：采用 Go 语言完全重构，彻底移除 Java 相关特征，防止平台测绘
配置保护：修改 Beacon Config 结构体，采用双重异或密钥，防止自动化工具扫描解密
特征消除：修复 BeaconEye 堆内存扫描漏洞，去除 Java 服务端所有验证暗桩
端口保护：修复 CheckSum8 导致的外网侦听端口被测绘发现的问题

功能增强

屏幕控制：支持高速远程屏幕控制，可替代 VNC 远程桌面
交互式 Shell：支持 Windows、Linux 交互式命令行操作
文件管理：完美适配 Linux 文件浏览，修复中文乱码和重复目录问题
内存执行：支持内存执行 Fscan 工具，采用挂载方式实现一次上传多次调用
内存运行：支持内存线程加载C程序，内存线程加载go程序。

CobaltStrike 兼容性

最新特性：支持 CS 4.9 SleepMaskKit，每次 sleep 使用不同随机密钥
BOF 增强：增加 BOF 函数解析，支持 .xdata、.pdata、.bbs 区段，动态调用函数提升至 64 个
架构优化：将 Java 客户端生成功能移植到 Go 服务端，为 WebCobaltStrike 2.0 和 Go+Wails 重构客户端做准备

用户体验

通知提醒：支持微信、钉钉、飞书机器人上线提醒
界面优化：提供更加细腻的客户端汉化水准和 IP 地理位置显示功能
云服务检测：经过国外服务器测试启动go程序服务端未被云厂商封禁

技术优势

性能优化：修复数据位置和代码位置相差大于 4G 的情况，与 CobaltStrike 4.9 保持一致
兼容性：BOF 函数与 CobaltStrike 4.9.1 完全一致
稳定性：经过实际测试验证，确保功能稳定可靠

主要功能演示

1.新增Linix、Mac一句话上线功能，这样可以支持某些命令执行漏洞上线CobatStrike的需求。

2.支持微信、钉钉、飞书机器人上线提醒。通过配置config/config.ini相关配置信息即可达到Beacon上线就会触发机器人发送消息。

# TeamServer Bot Notification Configuration# 机器人通知配置文件[bot_notification]# 企业微信机器人配置# WeChat Work Bot Configurationenable_wechat = falsewechat_key =# 钉钉机器人配置# DingTalk Bot Configurationenable_dingding = falsedingding_key =# 飞书机器人配置# Feishu/Lark Bot Configurationenable_feishu = falsefeishu_key =

3.新增inline-cpp和inline-go命令分别支持内存线程加载C程序，内存线程

加载go程序。达到更好的免杀效果，后渗透阶段文件不落地，绕过静态查杀。

4.修改CobaltStirke4.5源码使之适配 CS 4.9 SleepMaskKit，每次 sleep 使用不同随机密钥，提供内存免杀效果。

5.增加 BOF 函数解析，支持 .xdata、.pdata、.bbs 区段，动态调用函数提升至 64 个，同时BOF 函数与 CobaltStrike 4.9.1 完全一致。这样可以适配使用市面上大多数的CobaltStrike插件。CS4.9 BOF加载原理如下:

6.新增高速屏幕功能替代VNC远程屏幕.cobaltstrike原版的vnc远程桌面功能过于老旧，无论是共功能性、兼容性方面来说都有些过时。因此使用高速屏幕代替VNC远程桌面。采用异步线程执行的方式，不会影响beacon的sleepmask功能。支持x64以及x86的环境。

7.新增交互式Shell功能。由于非交互式shell在某些环境下存在短板以及弊端，因此本次新增交互式Shell功能，采用异步线程执行的方式，不会影响beacon的sleepmask功能。支持x64和x86以及Linux amd、arm的环境。

8.新增内存执行Fscan功能，采用挂载的方式，无需每次执行都需要上传Fscan。支持x64以及x86的环境。

fscan Usage:  fscan load                           # 加载 DLL（首次使用）  fscan -h 192.168.1.0/24              # 执行扫描  fscan -h 192.168.1.0/24 -p 1-65535   # 全端口扫描  fscan stop                           # 停止扫描

9.新增linux amd32 arm32上线功能。现在支持linux amd32、amd64、arm32、arm64上线的方式，只需要在主页面选择Linux生成，然后按照之前Windows一样步骤进行操作即可。

支持进程预览

文件预览以及图形化按钮功能均已修复。

执行linux系统命令

10.全平台实现socks5代理功能，支持Socks5认证模式。以windows为例，linux、mac同时支持Socks代理。同时修改代理图形化显示界面，支持显示账号、密码等信息。

11.进一步提对客户端汉化水平以及增加IP位置显示功能。

12.适配支持http、https、dns、extc2、smb、tcp、tcp转发协议上线，例如https取消系统默认ssl证书，利用go语言优势采用随机生成证书的方式，来防止捕捉特征，同时也支持域前置功能，只需在默认profile中指定证书相关信息即可。

# 支持 Nginx (.pem + .key)  Apache (.crt + .key) 格式证书 直接指定文件即可。#https-certificate {#      set certfile "/opt/cobaltstrike/certs/yourdomain.pem | /opt/cobaltstrike/certs/yourdomain.crt";#      set keyfile  "/opt/cobaltstrike/certs/yourdomain.key";#  }