CobalStrike批量上线后的权限维持和信息收集~

最新推荐文章于 2024-08-13 08:42:16 发布
最新推荐文章于 2024-08-13 08:42:16 发布
阅读量916 收藏 9
点赞数 2
文章标签: windows java 数据库 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/112504801
版权
本文介绍了在内网渗透中,利用CobaltStrike进行批量上线后如何进行权限维持,包括通过注册表自启动、加入高权限组执行计划任务、创建隐藏用户等方式。同时强调了信息收集的重要性,尤其是在权限提升和维持稳定性的过程中。
摘要由CSDN通过智能技术生成

出品|MS08067实验室

本文作者:BlackCat(Ms08067内网安全小组成员)

BlackCat微信(欢迎骚扰交流):


前言:

昨天做CS批量上线的时候发现,内网渗透的本质都是信息收集,也就是收集各种账号密码,一旦有了密码,这个系统也就不攻而破了。然后就在网上以及查阅资料中,整理了以下的搜集姿势。

权限维持:

比如通过钓鱼邮件,批量获取了一批上线机器,但是我们不能第上来就进行其他主机的渗透,第一步应 该进行维稳加固。

维稳方法一:加入出册表自启动

之所以放入注册表中,是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行,比如wmi,schtasks,net user,截屏,键盘记录等等。。

在网上翻阅了一大堆的关于这个方法的资料

参考链接:

网上大佬的脚本方法我没能实验成功,就算成功了,上传会不会被杀也不一定,所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表:

这里用到了reg命令:eg命令是Windows提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。

首先我们要知道,注册表里开机自启动的目录是什么:

Win+R执行regedit后依次打开以下目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样就能看到开机自启动的内容都有什么:

这个在cmd中的命令为

REG query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run#显示这个目录下的所有的值

在beacon中执行就是前面加个shell

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
51-4 权限维持1 - cobalt strike(CS)
weixin_43263566的博客
07-04 107
老师讲的内容没有我之前写得那么详细,因此这篇就不需要写了,可以直接看我之前写的。
我的渗透笔记之cobaltstrike的提权以及维持权限
xf555er的博客
03-16 4702
一、cobaltstrike的提权: 提权:简单来说就是将用户的操作权限提升至系统权限 操作: 下面这张图的权限为用户权限 点击提权后,选择提供的exp,过一会就会出现系统权限的shell 二、权限维持权限维持:简单来说就是让我们可以更久的控制一台电脑 操作: 1、创建监听后,我们要创建一个后门,在这里我们利用脚本攻击演示一下。 2、设置开机后自动启动脚本后门,点击目标中执行be...
CS-Loader 项目使用教程
最新发布
gitblog_00973的博客
08-13 406
CS-Loader 项目使用教程 CS-LoaderCS免杀项目地址:https://gitcode.com/gh_mirrors/cs/CS-Loader 项目介绍 CS-Loader 是一个用于绕过杀毒软件(AV)检测的工具,主要用于加载和执行 PowerShell 脚本。该项目支持静态和动态免杀技术,并提供了 Python 和 Go 版本的实现。通过将生成的 shellcode 追加到图片...
CobaltStrike 上线权限维持
Nocker888的博客
05-10 1443
CobaltStrike 上线权限维持 Win系统上常用计划任务或注册表自启动,或者 ”白+黑” 的方法来达到权限维持的目的 自启动服务 前情提要: 权限要求:system权限 准备免杀马子,上传自定义路径 sc create "GoGo" binpath= "C:\Users\Arks7\Desktop\BypassMM\Exp.exe(路径)" sc description "GoGo" "360SB" sc config "GoGo" start= auto net start "GoGo"
CS插件——CobaltStrike_CNA-权限维持
2301_76786857的博客
12-08 1680
EasyPersistent,是一个用于windows系统上权限维持的Cobalt Strike CNA 脚本。脚本整合了一些常用的权限维持方法,使用反射DLL模块可使用API对系统服务、计划任务等常见权限维持方法进行可视化操作(强烈建议使用白名单进程进行操作)。
【渗透测试笔记】之【内网渗透——Cobalt Strike信息收集
AA8j的博客
07-02 1563
拓扑图 1.判断是否存在域 shell net view /domain ipconfig /all systeminfo net config workstation 以上足以判断就不一一举例了。 探测域内存活主机及端口 arp扫描 portscan null-255.255.255.255 0 arp 1024
Windows权限维持技术总结、复现
leah126的博客
03-13 960
的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。例如,要在 Windows 资源管理器用户界面启动之前运行某个程序,可以将该程序的名称替换为该条目的值中的 Userinit.exe,然后在该程序中包含启动 Userinit.exe 的指令。在 Windows 上有一个重要的机制,也就是服务。
如何利用CobalStrike进行批量上线
Ms08067安全实验室
01-06 669
点击上方蓝字关注我哦出品|MS08067实验室本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):前言:当获取一台目标服务器权限时,更多是想...
CobalStrike 4.0 生成后门几种方式 及 主机上线后基础操作
Ms08067安全实验室
01-22 2026
出品|MS08067实验室(www.ms08067.com)本文作者:BlackCat(Ms08067内网安全小组成员)BlackCat微信(欢迎骚扰交流):步骤:Attacks—〉Pa...
cobalstrike渗透软件
03-25
Cobalt Strike提供了一个全面的平台,支持从侦察到入侵的整个过程,包括信息收集、漏洞利用、权限提升和持续访问。 2. **Cobalt Strike的组件**: - **Team Server**:是Cobalt Strike的核心,负责管理所有客户端...
Cobalstrike4.2_win .zip
03-30
Beacon是一个强大的后渗透阶段代理,它允许测试者在目标系统上执行各种任务,如文件上传下载、进程控制、键盘记录等。在4.2版本中,Beacon的隐蔽性和持久性得到进一步提升,使得它能在目标环境中更加难以被检测到。 ...
权限维持
weixin_43999372的博客
05-28 1590
windows 权限维持 一 修改注册表建立隐藏用户 一.环境 windows 2007 CMD命令行下,建立了一个用户名为“test”,密码为test的用户,并加入管理员组,cMD命令行使用"netuser",看不到"test”,密码为test的用户,并加入管理员组 ,cMD命令行使用"net user
【渗透测试笔记】之【内网渗透——CS权限维持:CS上线后进程自迁移插件】
AA8j的博客
10-25 3006
1. 服务端加载malleable配置文件 1.1 下载 下载地址:https://github.com/threatexpress/malleable-c2 下载cs对应版本配置文件: 我这里下载4.3版本的。 1.2 加载配置文件 下载完后放入CS根目录: 加载配置文件启动方式,只需要在末尾跟上配置文件就可以了: ./teamserver 192.168.8.48 aa8j jquery-c2.4.3.profile 2. 客户端加载cna插件 2.1 插件下载 下载地址:https://git
Cobaltstrike系列教程(十三)控制持久化
J0o1ey Blog
01-19 5582
0x000-前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 群号820783253 0x001-右键菜单实现控制持久化 在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。 目前常见的手法有: 1.注册表 2.启动项 3.计时任务 4.设置服务 5.shift后门 6.dll劫持(白加黑) 7.利用其他安装的软件 ...
权限维持新老技术
热门推荐
Shanfenglan's blog
08-04 34万+
参考资料 权限维持相关 静默宏木马 可以使用静默宏木马进行权限维持。利用cs创建宏木马插入docx文件中。 制作方法 1.利用CS生成vbs代码 2.创建一个docx文档并创建宏且将宏的位置设置为对所有的活动模版和文档,如下图所示 3.将恶意vbs代码加入到Nomal的This Document模块 4.保存文件并运行,主机上线,且以后这个电脑上的任意word文档打开后都会上线,除非删掉这个宏配置。 tips 杀软对doc文件杀软查杀力度远大于对docx文件的。 参考 静默宏木马进行
内网渗透-域内的权限维持
lza20001103的博客
10-01 1043
域内的权限维持 文章目录域内的权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下域内的权限维持权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
第六章-5 CS之收集目标的基本信息
划水的小白白
11-23 457
文章目录零、集目标的基本信息1.需求:一、启动CS(服务端、客户端)1.服务端2.客户端二、创建诱导链接(钓鱼链接)三、模拟受害者点击四、在CS中查看成果五、钓鱼链接的优化 零、集目标的基本信息 1.需求: 在生成payload之前,我们可以先获取一下目标的基本信息,来进行针对性的payload生成。 一、启动CS(服务端、客户端) 1.服务端 2.客户端 说明: 一般创建payload的时候,都需要先建立监听。但是创建钓鱼链接是不需要的。 二、创建诱导链接(钓鱼链接) , 这个重定向地址,我们先
内网权限维持
m0_55751267的博客
11-22 1810
事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。管理员权限的后门可以设置更多的计划任务,例如重启后运行等。Run中的程序是WINDOWS初始化后才运行的,而RunService中的程序是在操作系统启动时就开始运行的,也就是说RunServices中的程序先于Run中的程序运行,如电源管理程序。反弹管理员shell。
cobalstrike免杀
06-14
"CoBaltStrike"是一款专业的渗透测试和红蓝对抗模拟平台,主要用于网络安全培训和模拟攻击防御环境。它不是一款游戏,而是一个模拟器,其中包含了各种高级的渗透技巧和工具,如模拟恶意软件、绕过防火墙和防御机制等。 关于免杀(Anti-Evasion)的概念,它指的是黑客或攻击者采取的技术手段,以使他们的恶意软件或攻击策略难以被安全软件或系统检测到。在CoBaltStrike中,开发者可能会提供一些教学或模拟场景,让学员学习如何编写能规避检测的代码,比如使用编码混淆、多态性、动态加载库等技术来隐藏恶意行为。 然而,由于这涉及专业安全知识和实践,这里我无法详细解释具体的免杀技术。如果你想了解关于CoBaltStrike中的这些内容,你可能会对以下问题感兴趣: 1. CoBaltStrike如何模拟常见的免杀策略? 2. 在渗透测试中,哪些技术常用于提升代码的隐藏性? 3. 如何在CoBaltStrike中学习和理解这些安全防御绕过的策略? 如果你对特定的免杀技术或者在CoBaltStrike中实施免杀感兴趣的方面有更深入的问题,我会很乐意帮助解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值