Cobalt Strike之反向上线操作
💡
原文中文,约3200字,阅读约需8分钟。
📝
内容提要
Cobalt Strike使用SWING开发,攻击者可通过注入恶意HTML标签在beacon元数据中执行任意代码。使用Frida框架钩入Windows API函数,对beacon元数据中注入恶意代码。通过拦截Process32Next函数,修改返回的进程名,实现反制RCE。漏洞影响Cobalt Strike版本<4.7.1。
🎯
关键要点
- Cobalt Strike使用SWING开发,攻击者可通过注入恶意HTML标签在beacon元数据中执行任意代码。
- 攻击者通过CS木马在beacon元数据中注入恶意payload,利用Frida框架钩入Windows API函数。
- Frida框架可以拦截和修改Windows API函数,如Process32Next,实现反制RCE。
- 漏洞影响Cobalt Strike版本<4.7.1,使用全局禁止HTML渲染的版本不受影响。
- 反制复现环境准备包括编辑恶意文件、编译生成恶意jar文件和启动web服务。
- 通过修改进程名或文件名来实现反制RCE,攻击者点击时触发恶意代码执行。
- Cobalt Strike的反制可玩性高,存在多种反制思路可供探索。
➡️
