記一次利用cs進行內網滲透的過程
記一次利用cs進行內網滲透的過程
首先搭建好cs的服務端和客戶端連線,下面正式進行滲透
環境
kali:192.168.0.226
域控機:192.168.0.138
成員機:192.168.0.251 192.168.0.141
操作
cs上線
-
首先開啟監聽cobalt->listeners,host和beacons都為cs服務端的ip地址
-
生成相應的windows木馬,上傳到靶機251中執行。
選擇對應的監聽和木馬格式
最後將生成的木馬傳到靶機中,讓靶機執行。
-
機器上線成功
部分cs命令利用
getsystem logonpasswords 抓取密碼 net view /domain 查詢域列表 net time /domain 判斷主域 net user /domain 查詢域內使用者
獲取到內網域相應的資訊
存活主機探測和獲取憑證
-
內網橫向探測
獲取到一個 cs 的 beacon 後可以目標內網情況和埠開放情況,在 beacon 上右鍵 -> 目
標 -> 選擇 net view 或者 port scan:
可以在選單欄中,view視窗的targets選項中檢視
-
用 cs 的 hashdump 讀記憶體密碼:hashdump,用 mimikatz 讀登錄檔密碼:logonpasswords。獲取相應賬戶憑證
或者:
右鍵->Access->Dump Hashes(需要Administrator許可權)
右鍵->Access->Run Mimikatz
可以在憑證欄中檢視獲取的憑證
SMB Beacon和psexec傳遞(msf中的hash傳遞攻擊)
在探測到其他兩個內網機器開了445埠的前提下,可以使用SMB beacon獲取。相當於在msf裡面使用永恆之藍獲取shell。有兩種方法
-
直接派生,新建一個listener,pyload設定為beacon_smb
在已有的 Beacon 上右鍵 Spawn(生成會話 / 派生),選擇建立的 smb beacon 的 listerner:
選擇後會反彈一個子會話,在 external 的 ip 後面會有一個連結的小圖示:
這就是派生的 SMB Beacon,當前沒有連線,可以在主 Beacon 上用 link host 連線它,或者unlink host 斷開
就是說通過之前的beacon為跳板通過SMB去連線新beacon獲取許可權shell
可以在檢視介面檢視圖形化連線情況
-
前面橫向探測已經獲取到內網內的其他 Targets 以及讀取到的憑證資訊,嘗試使用 psexec
模組登入其他主機,右鍵選擇一臺非域控主機 ROOT-TVI862UBEH 的 psexec 模組:
-
在彈出的視窗中選擇使用 god.org 的 Administrator 的憑證資訊,監聽器選擇之前建立的
smb beacon,會話也選擇對應的 smb beacon 的會話:
-
成功上線,並返回新的beacon
另一種方式token 竊取
除了直接使用獲取到的 hash 值,也可以直接竊取 GOD\Administrator 的 token 來登入其
他主機,選擇 beacon 右鍵 -> 目標 -> 程序列表,選擇 GOD\Administrator 的 token 盜取:
找到相應賬戶的conhost.exe資訊,獲取其token
再在之前獲取的憑證中選擇相應賬戶,勾選token選項就好了
補充;
cs與MSF會話傳遞
-
MSF 建立監聽自己的 ip 跟埠:
-
CS 建立監聽 listeners,Listeners 的 ip 為 msf 的 ip,埠為 msf 監聽的埠(注:如果
msf 是內網下的,則需要把埠對映到公網,或者使用 ngrok 等工具做流量轉發)
-
回到 cs 上,選中拿下的計算機會話,右鍵選中 spawn,然後在彈出來的框中選擇剛剛創
建的 listeners 監聽器,然後執行。
-
msf收到會話
推薦網址:
cobaltstrike安裝加破解教程+使用教程 - BBSMAX
Cobalt strike在內網滲透中的使用 - FreeBuf網路安全行業門戶