記一次利用cs進行內網滲透的過程
首先搭建好cs的服務端和客戶端連接,下面正式進行滲透
環境
kali:192.168.0.226
域控機:192.168.0.138
成員機:192.168.0.251 192.168.0.141
操作
cs上線
-
首先開啟監聽cobalt->listeners,host和beacons都為cs服務端的ip地址
-
生成相應的windows木馬,上傳到靶機251中執行。
選擇對應的監聽和木馬格式
最后將生成的木馬傳到靶機中,讓靶機執行。
-
機器上線成功
部分cs命令利用
getsystem
logonpasswords 抓取密碼
net view /domain 查詢域列表
net time /domain 判斷主域
net user /domain 查詢域內用戶
獲取到內網域相應的信息
存活主機探測和獲取憑證
-
內網橫向探測
獲取到一個 cs 的 beacon 后可以目標內網情況和端口開放情況,在 beacon 上右鍵 -> 目
標 -> 選擇 net view 或者 port scan:
可以在菜單欄中,view視窗的targets選項中查看
-
用 cs 的 hashdump 讀內存密碼:hashdump,用 mimikatz 讀注冊表密碼:logonpasswords。獲取相應賬戶憑證
或者:
右鍵->Access->Dump Hashes(需要Administrator權限)
右鍵->Access->Run Mimikatz
可以在憑證欄中查看獲取的憑證
SMB Beacon和psexec傳遞(msf中的hash傳遞攻擊)
在探測到其他兩個內網機器開了445端口的前提下,可以使用SMB beacon獲取。相當於在msf里面使用永恆之藍獲取shell。有兩種方法
-
直接派生,新建一個listener,pyload設置為beacon_smb
在已有的 Beacon 上右鍵 Spawn(生成會話 / 派生),選擇創建的 smb beacon 的 listerner:
選擇后會反彈一個子會話,在 external 的 ip 后面會有一個鏈接的小圖標:
這就是派生的 SMB Beacon,當前沒有連接,可以在主 Beacon 上用 link host 連接它,或者unlink host 斷開
就是說通過之前的beacon為跳板通過SMB去連接新beacon獲取權限shell
可以在視圖界面查看圖形化連接情況
-
前面橫向探測已經獲取到內網內的其他 Targets 以及讀取到的憑證信息,嘗試使用 psexec
模塊登錄其他主機,右鍵選擇一台非域控主機 ROOT-TVI862UBEH 的 psexec 模塊:
-
在彈出的窗口中選擇使用 god.org 的 Administrator 的憑證信息,監聽器選擇之前創建的
smb beacon,會話也選擇對應的 smb beacon 的會話:
-
成功上線,並返回新的beacon
另一種方式token 竊取
除了直接使用獲取到的 hash 值,也可以直接竊取 GOD\Administrator 的 token 來登錄其
他主機,選擇 beacon 右鍵 -> 目標 -> 進程列表,選擇 GOD\Administrator 的 token 盜取:
找到相應賬戶的conhost.exe信息,獲取其token
再在之前獲取的憑證中選擇相應賬戶,勾選token選項就好了
補充;
cs與MSF會話傳遞
-
MSF 創建監聽自己的 ip 跟端口:
-
CS 創建監聽 listeners,Listeners 的 ip 為 msf 的 ip,端口為 msf 監聽的端口(注:如果
msf 是內網下的,則需要把端口映射到公網,或者使用 ngrok 等工具做流量轉發)
-
回到 cs 上,選中拿下的計算機會話,右鍵選中 spawn,然后在彈出來的框中選擇剛剛創
建的 listeners 監聽器,然后執行。
-
msf收到會話
推薦網址:
cobaltstrike安裝加破解教程+使用教程 - BBSMAX
Cobalt strike在內網滲透中的使用 - FreeBuf網絡安全行業門戶