内网渗透 - 不出网cs的各种姿势

一、实验拓扑说明

        

二、实验环境

        kail linux（攻击机）

        windows server 2012（服务器）

        windows10（内网业务机）

 

三、实验开始

        1、启动Cobalt Strike生成木马，并进行反向连接拿下web服务器

        2、启动客户端服务

        3、设置监听端口和IP地址

ip地址设置的是：192.168.80.131 ----> kail的ip地址 端口为80端口

使用http通信，进行发送接收数据。

关于监听功能做简单介绍：

Beacon DNS：使用DNS请求和响应进行通信。这种方式隐蔽性强，常用于通过在DNS查询中嵌入数据来绕过网络防御。（种马）

Beacon HTTP：使用HTTP协议进行通信。通过标准的HTTP请求发送和接收数据，适用于允许HTTP流量的环境。（种马）

Beacon HTTPS：与HTTP beacon类似，但使用HTTPS进行加密通信。这增加了一层安全性，使检测更加困难。（种马）

Beacon SMB：使用SMB（服务器消息块）协议进行通信。通常用于在网络中横向移动，利用共享文件夹和网络驱动器。（建立隧道）

Beacon TCP：使用原始TCP连接进行通信。这种方式更加直接，适用于其他协议可能被阻止或监控的情况。（建立隧道）

External C2：允许与外部命令和控制（C2）框架集成。提供了使用自定义通信方法的灵活性。

Foreign HTTP：通过HTTP与C2服务器通信，类似于Beacon HTTP，但设计用于与非Cobalt Strike的C2服务器配合使用。（shell传递）

Foreign HTTPS：与Foreign HTTP类似，但使用HTTPS与非Cobalt Strike的C2服务器进行加密通信。（shell传递）cs上马后可以把权限传给msf，msf中也可以把权限传给cs 

 

说明：使用cs_windows_server_2012作为监听端口生成一个名为cs_windows_server_2012的木马并保存在

/home/kail的文件路径下。

 4、开启http服务，并在Window_server2012进行反向连接木马

 以管理员身份运行cs_windows_server2012控制服务器上马

此时，web服务器已经被我们拿下，192.168.80.130被种马。

5、木马上线后、去抓取mimikatz以及hash

抓取windows_server2012的hash

此时我们已经成功的抓取到了windows_server2012的hash,但是经过加密、我们无法得到明文密码.

抓取windows_server2012mimikatz

此时我们可以看到windows_server2012无法抓取到mimikatz，并且密码均为null无法获取。

我们可以通过修注册表进行，使得目标机器进行锁屏或者重启。从而进行获取password

四、Windows10、Windows_server2012抓取mimikatz的方式

Windows_server2012系统之后的密码明文抓取方式:
    注意：

1.只针对windows服务器系统有效，win10实测不行会报错
2.系统权限
    先进行修改注册表：
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest/vUseLogonCredential /t REG_DWORD /d 1 /f

    然后进行执行ps1脚本使得服务器锁屏，让管理员进行重新登录。从而获取登录密码。
Function Lock-WorkStation {
 
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
 
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
 
$LockWorkStation::LockWorkStation() | Out-Null
 
}
 
Lock-WorkStation

五、 上线方式

前面我们说过SMB是一种通信协议、经常用于内网横向进行建立隧道。进行权限传递。

官网介绍：

        SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons连接后，子Beacon从父Beacon获取到任务并发送。

因为连接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。

使用

这种Beacon要求具有SMB Beacon的主机必须接受端口445上的连接。

派生一个SMB Beacon方法：在Listner生成SMB Beacon>目标主机>右键> spawn >选中对应的Listener>上线

或在Beacon中使用命令spawn smb

六、扫描内网的存活主机 

 arp方式：先检查arp缓存，没有缓存，广播全F，发送的东西为源ip，源mac，目标ip，目标mac

此时我们发现了两台主机

192.168.47.140(windows_server2012内网IP地址)

192.168.47.130(Windows10业务机IP地址) 

此时我的Windows10业务机也已经成功上线。

此时我们进行内网横向、运维人员一般服务器设备较多、密码大概率会设置的一样。此时也大大的提高了我们渗透成功的概率。

因为Cobalt strike内部集成了mimicatz、因此我们直接进行抓取。

 

此时我们可以看到已经抓取到了Windows server 2012的mimikatz.

但是明文密码是null有一种方式是hash，因为明文进入win系统也是转hash，hash对比登录的，因此用hash登录横向是完全可以的，因为我们正常登录后的进程是winlogon这个进程是把你账号密码传递给下一个进程lsass.exe

然后我们抓取hash进行对比。

七、拿下Windows server2012开始横向渗透

建立smb隧道

此时hash进行登录。