Cobalt Strike 从入门到入狱（三）

1.对被控主机的操作

对着被控主机右键后：

Interact               //打开beacon

Access

    dump hashes   //获取hash

    Elevate            //提权

    Golden Ticket  //生成黄金票据注入当前会话

    MAke token     //凭证转换

    Run Mimikatz  //运行 Mimikatz

    Spawn As        //用其他用户生成Cobalt Strike的beacon

Explore

    Browser Pivot  //劫持目标浏览器进程

    Desktop(VNC)  //桌面交互

    File Browser     //文件浏览器

    Net View          //命令Net View

    Port scan        //端口扫描

    Process list    //进程列表

    Screenshot     //截图

Pivoting

    SOCKS Server  //代理服务

    Listener             //反向端口转发

    Deploy VPN      //部署VPN

Spawn                  //新的通讯模式并生成会话

Session               //会话管理，删除，心跳时间，退出，备注

2.dumphash

也可以直接通过在beacon控制台中hashdump命令，此命令作用为派生一个任务注入LSASS 进程，dump当前系统中本地用户的密码哈希，与hashdump同等效果

3.Elevate 提权

这里的提权利用了各种方式

3.1  svc-exe 提权

用于提升权限，用法类似msf中getsystem命令

科普下getsystem命令提权原理

 1.创建一个以system权限启动的程序，这个程序的作用是连接指定的命名管道。

2.创建一个进程，并让进程创建命名管道。

3.让之前的以system权限启动的程序启动并连接这个命名管道。

4.利用ImpersonateNamedPipeClient()函数生成system权限的token。

5.利用system权限的token启动cmd.exe。

右击被控主机后，Elevate提权，选择svc-exe后点击launch运行

 会在目标机生成一个基于服务自启动的exe程序，可响应Service Control Manager 命令

 提权成功后会通过system的权限回连指定的监听器，并在cs服务端新生成一个会话

 3.2 uac-token-duplication 提权

这种提权方式的原理是会产生一个具有提升权限的临时进程，然后注入一个有效载荷（playload stage）回连指定的监听器，并在cs服务端新生成一个会话。这种攻击利用 UAC漏洞，允许非提权进程使用从提权进程窃取的令牌启动任意进程。该漏洞要求攻击者删除分配给提权令牌的权限，您的新会话的能力将反映这些受限的权利。如果「始终通知」处于最高设置，此攻击要求提权的进程已经运行在当前桌面会话中（作为同一用户）。在2018年11月更新之前，该攻击在Windows 7和Windows 10上有效。

 

runasadmin uac-token-duplication [命令] 是和上面描述的相同的攻击，但是此变形是在一个提权
的上下文中运行你选择的命令。

runasadmin uac-cmstplua [命令] 将尝试绕过 UAC 并在一个提权的上下文中运行命令。此攻击依赖于 COM 对象，该对象会自动从特定的进程（微软签名的，位于  c:\windows\* 目录下的）上下文中提
权。

3.3 ms14-058|ms15-015|ms16-016|ms16-032|ms16-032|ms16-315

这几种方式都差不多，通过windows的本地提权漏洞来提权

 3.4 juicypotato 多汁土豆提权

多汁土豆的实现原理和流程

1.加载COM并发送请求，在指定ip和端口位置尝试加载一个COM对象
2.回应步骤1的请求，并发起NTLM认证，由于权限不足，无法认证成功
3.针对本地端口同样发起NTLM认证，权限为当前用户
4.分别拦截两个NTLM认证的数据包，替换数据，通过NTLM重放使得步骤1中的认证通过，获得system权限的token
5.利用system权限的token创建新的进程，如果开启SeImpersonate权限，调用CreateProcessWithToken，传入System权限的Token，创建的进程为System权限，或者如果开启SeAssignPrimaryToken权限，调用CreateProcessAsUser，传入System权限的Token，创建的进程为System权限。

3.5 compmgmt 提权

 通过windows的compmgmt计算机管理去提权，具体如何实现没了解过，网上关于这块的资料太少了

3.6 rottenpotato  烂土豆提权

所谓的烂土豆提权，就是俗称的MS16-075，可以将Windows工作站上的特权从最低级别提升到“ NT AUTHORITY \ SYSTEM” – Windows计算机上可用的最高特权级别。（从Windows服务帐户到系统的本地权限升级）

原理和流程

1.欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。
2.对这个认证过程使用中间人攻击（NTLM重放），为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户（IIS、MSSQL等）有这个权限，大多数用户级的账户没有这个权限。

3.7 uac-eventvwr

通过注册表，利用eventvwr.exe 会自动加载我们的exp，这时的eventvwr.exe为高权限，达到提权效果

3.8 uac-dll 

利用UAC漏洞，把我们的exp生成的dll复制到特定位置来达到提权效果，可绕过UAC

3.9 uac-wscript

这是一个empire中的绕过UAC模块，通过利用wscript.exe 去执行payload，以管理员权限去运行payload，只限于win7上使用

4.Run  Mimikatz

logonpasswords 命令会使用 mimikatz 来恢复登录过当前系统的用户的明文密码和哈希。

logonpasswords 命令等同于选项中的  [beacon] →  Access →  Run Mimikatz 。

 使用这些命令dump下来的凭据会被 Cobalt Strike 收集并存储在凭据数据模型中。通过  View →
Credentials 来在当前团队服务器拉取查看凭据。

5.生成黄金票据

通过填入mimikatz得到的数据生成黄金票据注入会话

6.制作令牌

在当前的beacon上进行身份伪造

填入对应的用户，密码，domain，制作token

 7.One-liner

 PowerShell one liner功能的会话。在beacon中承载一个运行有效负载的powershell脚本

powershell one-liner通常用于管理文件系统

选择监听器，随后会生成一段powershell命令，放到目标靶机上去运行，得到会话

 在cobaltstrike通过beacon去运行powershell命令

 8.spawn As

 

 用于获取beacon后获取一个新的beacon，防止权限丢失，还可以和msf，empire等工具结合使用