CrossC2 icon indicating copy to clipboard operation
CrossC2 copied to clipboard

Published 20 hours ago verified publisher icon gloxec

MacOS上线后执行命令无回显

Open xiaopigfly opened this issue 3 years ago • 11 comments

想问下是什么原因导致的,读取文件正常

xiaopigfly avatar Nov 29 '21 02:11 xiaopigfly

贴下CS版本以及CrossC2版本,根据你的描述大概率是因为cs版本不匹配导致

gloxec avatar Nov 29 '21 04:11 gloxec

cs version:4.1 CrossC2:2.0 macOS:M1,big sur 11.5.1 应该是crossc2版本太低导致的?

xiaopigfly avatar Nov 29 '21 04:11 xiaopigfly

对的 主页有注明CS版本对应使用的CrossC2版本说明,cs每个版本采用的协议是不同的,无法通用 cs4.1 是 CrossC2 2.2 后才支持的

gloxec avatar Nov 29 '21 05:11 gloxec

似乎在root权限下执行命令真的有问题,普通用户执行命令都能回显。但root不行,建议可以尝试下。

xiaopigfly avatar Nov 29 '21 06:11 xiaopigfly

能否贴下 Interact 交互界面,WebLog界面,teamserver输出信息三处的图呢?

gloxec avatar Nov 30 '21 04:11 gloxec

pkg方式上线 root权限下执行不了命令,只能看文件。dmg 安装后进不去desktop文件夹,权限是当前用户。暂时无图 建议可以自行测试下。测试方法:https://xz.aliyun.com/t/10528

xiaopigfly avatar Dec 07 '21 06:12 xiaopigfly

dmg 安装后进不去desktop文件夹,权限是当前用户

测试 dmg 方式 发现可访问 desktop 文件夹。 无访问权限应该是MacOS TCC保护问题,出现的结果不同与系统版本、上层父进程权限,或App申请权限,以及用户本地的安全保护策略有关。

系统偏好设置 -> 安全性与隐私 -> 文件夹 / 磁盘访问权限 两类 决定,建议参照TCC bypass方案

这里测试似乎低版本的TCC逻辑不严密,用户目录下的默认路径有权限访问,但高版本发现该类路径都需要主动等待用户添加同意

pkg方式上线 root权限下执行不了命令,只能看文件

经过测试,pkg在运行结束后常见系统执行类的函数似乎都将失败,临时写了hello程序,发现pkg安装程序在运行结束后,除命令执行函数外的其他代码都在正常执行。

所以这里命令执行无回显与beacon本身无关,怀疑pkg程序为了获取安装脚本执行结果,对底层的命令执行函数做了劫持,所以当结束后启动的子进程无法正常运行?

while(1) {
  ....
  exec(xxxxx) 
  ...
}

gloxec avatar Dec 07 '21 08:12 gloxec

我也遇到了一样的情况,root上线后执行了一次whoami还有回显,后面就再也不行了。后来我换了自己写的C2,能够执行系统命令和反弹shell等。

spac3wh1te avatar Dec 14 '21 08:12 spac3wh1te

我也遇到了一样的情况,root上线后执行了一次whoami还有回显,后面就再也不行了。后来我换了自己写的C2,能够执行系统命令和反弹shell等。

@spac3wh1te 该问题似乎与c2无关联性。可写单例枚举常见的exec, system, popen, posix_spawn等命令执行函数,发现在dpkg执行结束后都将无法继续运行。猜测是pkg在做权限提升,高权限安装完成后,对安装时的执行进程进行了权限回收,导致其下派生的子进程都无法创建新进程。

gloxec avatar Dec 16 '21 07:12 gloxec

如果非要以pkg方式去获得root进程session,建议可以使用cna来完成上线时自动迁移

on ssh_initial {
	# 计划任务等
}

gloxec avatar Dec 16 '21 07:12 gloxec

macos 下 root 确实有问题

PaiHL avatar Oct 16 '23 07:10 PaiHL