聊聊CS4.5下的CVE-2022-39197 RCE 的修复
2023-10-24 18:44:32 Author: mp.weixin.qq.com(查看原文) 阅读量:42 收藏

 

△△△点击上方“蓝字”关注我们了解更多精彩
0x00 前言

这段时间发现大佬们又出了好几款CS的改造版,里面都描述了一个新增功能[修复CVE-2022-39197]
之所以关注这个[修复CVE-2022-39197]的记录,是因为以前花了很多时间研究修复代码,但还是没有在不使用agent的情况修好这个漏洞.
但后面对大佬的新版CS工具进行测试和代码分析,发现修复功能不完善,这个漏洞还是存在,只是对EXP请求次数更少了.
所以大家使用CS4.7.1以下版本的时候还是需要注意安全。
0x01 环境说明
测试用到的CS4.5是公鸡队之家的[LionPro 0.2.0]
测试工具使用的是一个缝合的简单CVE-2022-39197 RCE测试工具,支持测试ProcessList功能和File Browser功能的XSS RCE. 
注: 仅做参考使用,不提供LionPro分享
0x02 测试记录
1、生成Beacon文件使用脚本进行执行上线

2、选择Beacon 打开File Browser功能

3、等待Sleep刷新,发现Calc.exe弹出

0x03 修复总结
目前我做了很多的File Browser代码修复尝试,但是都没有成功.
但Session和ProcessList处的XSS RCE好像确实没有再生效.
总而言之,还是建议大家通过JavaAgent进行本漏洞的修复.
JavaAgent除Patch.jar外可以下载 cs_agent_plus项目,同时支持其他功能的使用.
https://github.com/winezer0/cs_agent_plus
如需复现本漏洞的工具,可以参考
its-arun/CVE-2022-39197: CobaltStrike <= 4.7.1 RCEhttps://github.com/its-arun/CVE-2022-39197
或 私聊本文作者获取修改后的[file_process_cs_rce_poc],同时支持FileBrowser和ProcessList处的测试.
0x99 免责声明

在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。

1、在使用本文相关工具及技术进行测试时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。如您仅需要测试技术或工具的可行性,建议请自行搭建靶机环境,请勿对非授权目标进行扫描。

2、如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

4、本团队目前未发起任何对外公开培训项目和其他对外收费项目,严禁任何组织或个人使用本团队名义进行非法盈利。

5、本团队所有分享工具及技术文章,严禁不经过授权的公开分享。

如果发现上述禁止行为,我们将保留追究您法律责任的权利,并由您自身承担由禁止行为造成的任何后果。

END

如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!

或添加NOVASEC-酒零 以便于及时回复。

感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!

本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!


文章来源: https://mp.weixin.qq.com/s?__biz=MzUzODU3ODA0MA==&mid=2247489081&idx=1&sn=791eacc81bf8257cf7eb4252f17c41ec&chksm=fad4cb2ecda34238b5cd1d9d5d43ad9ccadfde795777a97b1883bb5db8d746ea896847b635a6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh