【内网安全】域横向CobalStrikeSPNRDP
演示案例:
? 域橫向移動RDP傳遞-Mimikatz
? 域橫向移動SPN服務-探針,請求,導出,破解,重寫
? 域橫向移動測試流程一把梭哈-CobaltStrike初體驗
案例1-域橫向移動RDP傳遞-Mimikatz
除了上述講到的IPC,WMI,SMB等協議的鏈接外,獲取到的明文密碼或HASH密文也可以通過RDP協議進行鏈接操作。
RDP協議連接:判斷對方遠程桌面服務是否開啟(默認:3389),端口掃描判斷
RDP明文密碼鏈接
windows: mstsc
mstsc.exe /console /v:192.168.3.21 /admin
linux: rdesktop 192.168.3.21:3389
Q:
解決:failed to open X11 display__囧囧_的博客-CSDN博客
RDP密文HASH鏈接
windows Server需要開啟 Restricted Admin mode,在Windows 8.1和Windows Server 2012 R2中默認開啟,同時如果Win 7 和Windows Server 2008 R2安裝了2871997、2973351補丁也支持;
開啟命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
開啟后運行:
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"
一般在我的電腦——右鍵屬性——遠程設置
如果連接報錯:出現身份驗證錯誤/要求的函數不受支持的解決方案
windows專業版:打開gpedit.msc——計算機配置>管理模板>系統>憑據分配>加密數據庫修正——選擇啟用并選擇易受攻擊
windows家庭版:打開gpedit.msc——找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters(CredSSP\Parameters不存在則手動新建:左側目錄System點擊右鍵,選擇“新建 - 項”,輸入文件夾名)——在Parameters 里 新建 DWORD(32位),名稱:“AllowEncryptionOracle",值:2——再次連接遠程桌面,若仍失敗則重啟電腦后再次嘗試
案例2-域橫向移動SPN服務-探針,請求,導出,破解,重寫
kerberos中的spn詳解 - 滲透測試中心 - 博客園
?SPN(Service Principal Name服務主體名稱)
黑客可以使用有效的域用戶的身份驗證票證(TGT)去請求運行在服務器上的一個或多個目標服務的服務票證。DC在活動目錄中查找SPN,并使用與SPN關聯的服務帳戶加密票證,以便服務能夠驗證用戶是否可以訪問。請求的Kerberos服務票證的加密類型是RC4_HMAC_MD5,這意味著服務帳戶的NTLM密碼哈希用于加密服務票證。黑客將收到的TGS票據離線進行破解,即可得到目標服務帳號的HASH,這個稱之為Kerberoast攻擊。如果我們有一個為域用戶帳戶注冊的任意SPN,那么該用戶帳戶的明文密碼的NTLM哈希值就將用于創建服務票證。這就是Kerberoasting攻擊的關鍵。
探針
setspn就是調用spn掃描,這是自帶掃描
請求獲取票據
導出票據
破解票據
重寫票據
利用
dir //xxx.xxx.xxx.xxx/c$案例3-域橫向移動測試流程一把梭哈-CobaltStrike初體驗
CobaltStrike也稱CS打槍工具
滲透測試神器Cobalt Strike使用教程
參考:CobaltStrike使用指南
https://docs.qq.com/blankpage/DZlVaY3dzWlpRZlh3
大概流程:
啟動-配置-監聽-執行-上線-提權-信息收集(網絡,憑證,定位等)-滲透
1.關于啟動及配置講解
2.關于提權及插件加載
3.關于信息收集命令講解
4.關于視圖自動化功能講解
演示:
啟動:
運行teamserver團隊服務器:
./teamserver 團隊服務器的ip地址 密碼(有這個密碼就連接到工具上去)
啟動完后打開本地客戶端
?
阿里云服務器要開啟這個端口(注意!) 否則連接會超時奧!
連接成功:這樣就進入到cs的工具畫面
這就是它的簡單啟動
?配置
?啟動完之后更重要的就是配置,它怎么上線。可以理解為它就是一款遠控工具,這個遠控工具里面又實現了一些功能,大部分攻擊主機,我先要控制它再在上面做后續操作。下一步就是讓對方上線,但是由于它是一個團隊服務器,你搞的主機和我搞的主機怎么區分開呢?加入我和你都連接到終端,可以多個人連接上來一起攻擊,但是怎么區分哪個是你的哪個是我的?要通過配置監聽器來實現,從你這個監聽器過來的就是你攻擊的。監聽器就是配置木馬傳輸的管道!
如何配置監聽器?
Beacon為內置的Listener,即在目標主機執行相應的payload,獲取shell到CS上;其中包含DNS、HTTP、SMB。
Foreign為外部結合的Listener,常用于MSF的結合,例如獲取meterpreter到MSF上。
下面生成后門文件:
點擊attack——windows executable(常用)
?
?
現在我們把這個web.exe后門復制到2008r2webserver,執行,執行后:
?(webadmin是當前用戶權限)
?現在要對它進行提權操作:
點擊Access——elevate(提權)
自帶只有兩種提權方式,我們要加載插件:
?插件在“涉及資源”之中,我們下面用第3條資源和第六條
?插件該如何加載?(加載插件就是因為插件上有一些其他功能)
點擊Cobalt strike——script manager(腳本管理器)——點擊load上傳插件
?
?load過后 選中——點擊Unload就是加載插件(再右鍵被控制的主機——Access——Elevate發現多了一些插件:)
這個插件就幫我搞了幾個payload,三個提權exp,選中其中一個,比如ms14-058——選擇監聽器
點擊launch后就會利用ms14-058對它進行攻擊,如果速度過慢,就右鍵webadmin——session——sleep(設置為1或0)
?
由于已經提升到system權限,就用終端來執行(右鍵interact)
?輸入help可以查看命令
輸入getuid,返回的就是system
現在已經得到這臺主機的系統權限了,接下來就要進行內網滲透,并且要判斷它的網絡環境
接下來就是我們的第三步:信息收集
執行net view(執行它當前的網絡環境)就會探測當前的網絡架構:
這些信息不可能我們每個都收集一下,點擊view——targets,所有探測的信息就會自動展示出來:(執行net view的時候就會加載出來)
還要判斷是不是域環境:
輸入net computers
還有一些命令比如 net dclist,獲取當前dc列表,它就會獲取域控地址
net 后tab可以查看一些命令
執行net user /domain 官方沒有:就調用shell去執行——》shell net user /domain(得到域內用戶)用shell就和在windows上一樣
收集口令憑證:system右鍵(webadmin權限不夠)——access——run mimikatz
收集到口令之后我也不可能一個個翻一個個看,怎么辦?
點擊view——選擇credentials:可以看到獲取的密碼,都幫你記錄好了
前期信息收集都差不多了(判斷工作組,判斷域,域內用戶的信息收集,收集口令憑證等)
對收集到的目標進行攻擊:比如我要攻擊192.168.3.32——右鍵jump(就是對它進行攻擊)——psexec
?
它就會調用jump的psexec來連接主機,嘗試攻擊。
其他操作自己慢慢摸索吧~
涉及資源:
https://github.com/nidem/kerberoast
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw?? 提取碼: xiao
https://github.com/pandasec888/taowu-cobalt-strike
https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取碼:dtm2
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug? 提取碼: taqu
https://github.com/DeEpinGhOst/Erebus
https://github.com/rsmudge/ElevateKit
https://github.com/harleyQu1nn/AggressorScripts
https://github.com/bluscreenofjeff/AggressorScripts
https://github.com/360-A-Team/CobaltStrike-Toolset
https://github.com/ars3n11/Aggressor-Scripts
https://github.com/michalkoczwara/aggressor_scripts_collection
https://github.com/killswitch-GUI/CobaltStrike-ToolKit
https://github.com/ramenOx3f/AggressorScripts
https://github.com/FortyNorthSecurity/AggressorAssessor
https://github.com/threatexpress/persistence-aggressor-script
https://github.com/threatexpress/aggressor-scripts
https://github.com/branthale/CobaltStrikeCNA
https://github.com/gaudard/scripts/tree/master/red-team/aggressor
https://github.com/001SPARTaN/aggressor_scripts
https://github.com/Und3rf10wl/Aggressor-scripts
https://github.com/rasta-mouse/Aggressor-Script
https://github.com/vysec/Aggressor-VYSEC
https://github.com/threatexpresslaggressor-scripts
總結
以上是生活随笔為你收集整理的【内网安全】域横向CobalStrikeSPNRDP的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 作者:黄媛洁(1992-),女,食品安全
- 下一篇: 【2016年第6期】情境大数据建模及其在