Cobalt Strike 内网横向渗透获取权限(子篇3)
域内环境
系统 | IP | 备注 |
kali | 192.168.0.134 | teamserver |
server 2008r2 | 10.10.10.4 | dc域控 |
server 2008r2 (database1) | 192.168.0.163 10.10.10.6 | 本次测试的重点 |
win7 | 192.168.0.130 10.10.10.5(内网ip) | victim被控端 |
6.内网横向渗透获取权限
6.1代码执行的方法
方法一 系统权限获得
shell copy C:\Users\moonsec.TEST1\http.exe \\database1\C$\WINDOWS\TEMP\http.exe
shell sc \\host create name binpath=c:\windows\temp\file.exe
shell sc \\host start name
shell sc \\host delete name
方法二 当前权限执行
shell net time \\host
shell at \\host HH:MM c:\path\to\bad.exe
窃取标记
steal token 2760
验证是否可以攻击域控
shell dir \\dc\c$
被控端主机beacon进来
派生一个smb-beacon会话,内网的话最好用smb来做,它可以绕过一些防火墙
会话sleep设置为0
这边连接过来了,拿这个做渗透
看一下当前的权限和内网的信任主机 shell whoami 和net view
查看TEST1域下的所有信任主机
方法一 SC服务获取权限
攻击database1域 因为moonsec是它的管理员,可以访问它
生成一个后门
把它上传到被控端
上传到Users目录下
把当前文件复制到远程的database1域里面
创建一个a1的服务,服务名最好和后面的文件名一样
启动sc服务的a1文件
这样的话就有了一台主机
现在可以删除服务,但是不会丢,已经加载到内存里面了
方法二 当前权限执行
创建后门
同样如方法一上传,然后复制到主机里面
这个时候多了一台
这个时候又多了一台
为了节约时间,会话时间设置为0
可以看到当前为系统权限
看看域管理员是否有在进程列表里面, 如果在的话进行窃取标记
那么就可以访问域控dc的c盘啦
如何跟域控服务器交互?
kali和域控不在一个ip段 不能交互
所以要用到转发监听器 这里可以把它理解为一个代理
这边就会启动转发服务
新建一个后门
记住一定要选择之前设定的转发器名字,否则没用
把它上传到这台主机中
upload到temp目录下
复制到dc域中
看看能不能访问dc域的时间
然后启动它,建立连接,就有了dc的系统权限
这个时候可以进到里面来
shell dir
现在可以看一下视图
m0_65833590: 求一份pkt文件,大佬
特拉法儿加D路飞: 为什么我看你毒化之后,在win7的ARP表中网关的物理地址也变化了,我的只有254的物理地址变了
Ra1nbθw: 反序列化终极测试工具能分享下吗
jack-yyj: 支持代理池的