免责声明
锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。如有侵权烦请告知,我们会立即删除并致歉。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!谢谢!
前言
一、版本对比
查看一下现在用的版本是 2023-9-19:
原版 hash 如下:
网上找到原版 jar 包:
对比了一下 hash,cobaltstrike-client.jar 和 TeamServerImage 跟原版的 hash 都不一样:
二、源码分析
1. uhook.jar 反编译分析
总共就两个类 HOOK 和 Transformer 类。
HOOK 类是 Java 的一个 Agent,使用了 Java 的 Instrumentation API 在 Java 程序运行时修改类的字节码:
Transformer 类实现了ClassFileTransformer接口的transform方法,transform方法是用于修改类的字节码的:
在 transform 方法中,有三个被 Base64 编码过的数据字符串Authorization、SleevedResource 和第一个 if 内的字符串,解密后它们分别是三个 class:Authorization类、SleevedResource 类、VMManagementImpl 类。
Authorization 类:
SleevedResource 类:
VMManagementImpl 类:
三个类的内容都是一些 get 方法返回一些内容。
在 transform 方法会检查传入的类名(str)的哈希值是否与特定字符串的哈希值相等,如果相等就用对应的Base64编码的字符串解码后的字节码替换原来的字节码(bArr)。
也就是说,Transformer 类的作用就是在java运行后替换"sun/management/VMManagementImpl"、"common/Authorization"和"common/SleevedResource"三个类为相应的 Base64 编码的字符串解码后的类替换。
总结 uhook.jar 没有什么恶意内容,就是在 java 运行后替换对应的类为自己的类,这些类都只是一些 get 方法返回一些特定的值。
TeamServerImage 破解版与原版没有变化:
使用 010editor 发现被修改的只有两处不同:
被修改的点很小,不存在恶意内容。
pwn3 对 teamserver 的破解方式就是修改这两处字节绕过 teamserver 的检测。
三、外连分析
使用火绒剑进行分析,未发现外连:
总结
原文始发于微信公众号(锦鲤安全):CS4.9 PWN3 破解版分析
原文始发于微信公众号(锦鲤安全):CS4.9 PWN3 破解版分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论