摘要: Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。
当获取一台目标服务器权限时,更多是想办法扩大战果,获取目标凭据并横向进行登陆是最快速的拿权方式。但目标所处环境是否可出网,如何利用CobalStrike进行批量上线,正是本文所要讲述的内容。
logonpasswords
命令。需要当前会话为管理员权限,才能成功,如果权限低,请先提权~
点击工具栏的Credentials
,可以看到获取的凭据信息。(Credentials可自行添加)
当然,不是每次都能成功获取到明文密码的,要看内存中是否存储。
获取凭据后,需要对目标网段进行端口存活探测,缩小范围。探测方式比较多,本文仅依托CobalStrike本身完成,不借助其他工具。因为是psexec传递登录,这里仅需探测445端口。( psexec:在主机上使用服务派生会话 )
使用portscan命令:ip网段 — ports端口 — 扫描协议(arp、icmp、none)— 线程(实战不要过高)。
beacon> portscan 192.168.144.0/24 445 arp 200
点击工具栏的View–>Targets,查看端口探测后的存活主机。(Targets可自行添加)
选择Login–>psexec传递登录。
选择之前获取到的凭据信息(明文密文均可),此处选择明文,并确定接收的Listener与主机的Session。
在Beacon中可以看到执行的命令,并会显示成功登录的ip,之后就便会上线CobalStrike。这样就控制了多个主机的系统权限。
附:psexec密文传递Beacon中执行的命令。【不是psexec(psh)选项】
实战中往往还会遇到通过某种方式,获取到目标内网中某台主机的系统权限,但是该主机处在隔离网络中,不能出网。因为CobalStrike服务端是搭建在互联网中的,通过常规方式是无法上线的,这里就需要利用已上线的主机,将它做一个Listener,实现链路上线CobalStrike。
首先,在已上线的主机创建Listener,监听端口可自定义。
选择 Attacks->Packages->Windows Executable(Stageless),支持导出该类型Listener对应的可执行文件或dll等。
注意,选择刚建立的Listener名字,Proxy可不设置,这里生成exe保存本地。(未免杀)
上传刚才生成的payload到当前已上线的目标机中,还需要上传另一个工具PsExec.exe 。(CobalStrike本身psexec功能不够强大,且方法不唯一)
在Beacon中使用PsExec工具将payload上传到不出网的目标机中,自动执行,上线。
beacon> shell C:\WINDOWS\Temp\PsExec.exe -accepteula \\192.168.144.155,192.168.144.196 -u administrator -p admin@123 -d -c C:\WINDOWS\Temp\beacon.exe
端口查看,实际不出网目标机(192.168.144.196)是与出网目标机(192.168.144.155)正在建立连接。
beacon> shell netstat -ano |findstr 4444
因为这是link链接,只要主链路(即出网机Listener)掉线,就都会掉线!
ssh批量登录比较简单,同样利用当前已上线的目标机进行登录。
beacon> portscan 192.168.144.170-210 22 arp 200
在Credentials中添加ssh的口令信息。(ssh口令可事先通过其他方式获取,不建议用此工具进行ssh爆破,效率慢)
选择Login–>ssh登录。
选择刚添加的ssh口令,主机Session,即从哪台主机连接过去。
ssh成功登录后,就实现了Linux目标机的上线,在Beacon中可以看到执行的命令。若需要上线的Linux主机不多,可直接在Beacon中执行命令。
在Linux目标机中查看网络连接状态,实际是与之前已上线的Windows主机建立的连接。
来自转载
本文链接:**