中国蚁剑使用Electron构建客户端软件,Electron实现上用的是Node.js,并且Node.js能执行系统命令,故可以利用蚁剑的webshell页面嵌入js来直接执行命令,进而钓鱼来上线CS。(类似Goby,Goby也是使用Electron构建客户端软件)
蚁剑在虚拟终端时,页面上出现http/https协议头时会发生转换(字体会变蓝,表示处于超链接的状态),并且这个链接点开时所打开的页面是以蚁剑内部的浏览器进行打开的(最新版本修复后使用用户自带的浏览器打开),因此这便是我们利用页面执行Node.js来上线CS的好机会!
环境准备:
红队 | 蓝队 | |
IP | 192.168.108.220 | 192.168.108.150 |
版本 | 蚁剑 | Cobalt Strike |
想要执行系统命令需要借助页面的加载,此时可以制造假的webshell来故意让红队连接,进而一步步引导红队点击恶意链接调用node.js进行命令执行,上钩。
影响的版本:AntSword < =v2.1.14
AntSword下载:https://github.com/AntSwordProject/antSword/releases
开源假webshell:https://github.com/MD-SEC/Anti_AntSword
1、蓝队故意在服务器放置假的webshell进行钓鱼
达到真实的效果可以添加一些提示信息,让红队上钩
AntSword password admin