现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 前言
今天分享的这篇文章记录了星球师傅们在使用PostExpKit插件中常遇到的10个问题,大多Bug在新版插件中已修复。还有些问题还在测试和整理(以后再发),大家使用过程中有啥问题也可以找我反馈交流。
0x01 多个插件名重叠问题
使用该插件有时会出现多个插件名重叠的情况,如下图所示,这是因为与别人的插件冲突了,解决方法很简单:只需将PostExp.cna中的insert_menu这行删掉或者注释即可,然后再重新加载插件。
insert_menu,如果有删掉或者注释就行。0x02 不显示功能菜单问题
有几个师傅反映在Win11 + CS4.5和CS4.9英文版加载插件不显示功能菜单,如下图所示,如果遇到这种情况时可尝试将中文模块名称改为英文或数字即可,PostExp.cna也要改下哦。
Windows11 + CobaltStrike 4.5
0x03 中文字符乱码的问题
有师傅在使用该插件时发现会出现中文乱码,如下图所示,这可能是因为CS汉化/英文版与启动脚本中所用编码不一致,汉化版用GBK或GB2312,英文版用UTF-8,Vbs运行脚本如下。
CreateObject("WScript.Shell").Run "java -Dfile.encoding=UTF-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:uHook.jar -Xms512M -Xmx1024M -jar cobaltstrike-client.jar",00x04 火绒拦截curl.exe问题
火绒开启联网控制时当有主机上线可能就会出现拦截curl提示,如下图所示,因为脚本用到curl调用Bark的API接口进行消息推送,无危害可忽视,不用时将第11、12行注释即可。
0x05 线程土豆提权相关问题
问题一:
SYSTEM后再执行插件中的其他功能可能会出现各种报错,如下图所示,这时我们可先尝试迁移注入到其他SYSTEM/Administrator进程下再执行即可,可参考下边一些方法。问题二:
我们在已成功提权后可能还会遇到getuid为system高权限,但whoami为iis低权限的情况,如下图所示,这时可以尝试使用steal_token窃取令牌、inject注入进程、或者使用BOF添加用户BOF AddUser、MS-SAMR AddUser、进程注入Injections、PoolPartyBof、ThreadlessInject等等方法,这些功能在插件中都有,大家可以自己去测试下。
0x06 .NET超出最大限制问题
使用execute-assembly、dllinject等方式执行较大的程序时会提示:over the max task size limit(超出最大任务大小限制),这里以winPEASx64工具为例,如下图所示。
CS 4.6版本之后在Malleable C2配置文件中添加了三个新设置(tasks_max_size、tasks_proxy_max_size和tasks_dns_proxy_max_size)用于控制最大大小限制,如下图所示。
https://www.cobaltstrike.com/blog/cobalt-strike-4-6-the-line-in-the-sand如果遇到这种报错时可以在以下项目中下载Malleable C2配置文件,修改tasks_max_size值来控制允许执行文件大小,默认为2M,这时就能正常执行了,只是会有一点慢,如下图所示。
https://github.com/threatexpress/malleable-c20x07 Linux使用插件两个问题
问题一:文件大小写问题
当时没考虑Linux的使用场景,所有没太注意大小写问题,.cna脚本写的sharpcmd.exe为小写,实际文件名SharpCmd.exe为大写,解决方法就是将这个文件名改为小写即可,如下图所示。
问题二:文件夹空格问题
虽然解决了大小写问题,但在用插件中的InlineExecute[.NET]执行所有.NET土豆提权时又出现另一种报错,这应该是PostExpKit-20240524插件文件夹名称中带有空格的问题,如下图所示。
因为Linux进入带有空格的文件夹时,需要使用反斜杠(\)将空格前的字符进行转义,如下图所示,所以使用插件某些功能会出现上图报错,我们只需将PostExpKit-20240524中的空格删掉即可。
注意: 其他功能没有都去测试,不确定在Linux下是否还存在其他问题,如果大家有发现其他问题的可以找我反馈。我们在打包压缩PostExpKit插件时文件名中不要带有空格(提醒自己)!!!
0x08 InlineExecute[.NET]问题
使用InlineExecute[.NET]执行EfsPotato/GodPotato/PrintNotifyPotato/SigmaPotatoCore几个.NET土豆提权时最好加上Assemblyargs参数,否则可能会报CLR版本错误,如下图所示。
如果想要执行其他没有参数的.NET程序集时可以直接在Beacon下使用以下命令执行,如下图所示。
PatchlessinlineExecute-Assembly --dotnetassembly /tmp/SharpWifiGrabber.exe --amsi --etw --mailslot0x09 落地文件被隔离查杀问题
有师傅在执行提权模块PetitPotato功能时出现文件被占用的提示,如下图所示,这可能是我们落地的文件被某些防护隔离查杀或拦截了,他遇到的是卡巴斯基EDR,需自行做免杀处理…!
360/火绒等:拒绝访问(Access is denied)Windows Defender:无法成功完成操作,因为文件包含病毒或潜在的垃圾软件。Kaspersky EDR:The process cannot access the file because it is being used by another process[]
Windows Defender
0x10 CVE-2024-26229版本问题
某师傅提的一台Windows10系统内部版本为18363,但在使用插件CVE-2024-26229提权时出现判断版本出错的问题,经测试后发现是权限问题:Administrators组成员权限,或者Windows Server下获取到的内部版本号都不一样,看了好些都是9200,如下图所示。
$winbuild = binfo($bid, "build");blog($bid, $winbuild);
记得之前在写/测试CVE-2020-0796时好像也有碰到过这种判断版本的问题,如果大家遇到这类问题时可尝试将“权限提升.cna”中的判断版本代码给注释掉,如下图所示。
关注我们
还在等什么?赶紧点击下方名片开始学习吧
知 识 星 球
推 荐 阅 读
