cs 端如何做滲透測試

1.cs上線

• 首先開啟監聽cobalt->listeners,host和beacons都為cs服務端的ip地址

• 生成相應的windows木馬，上傳到靶機251中執行。

選擇對應的監聽和木馬格式

最后將生成的木馬傳到靶機中，讓靶機執行。

• 機器上線成功

2.部分cs命令利用

getsystem
logonpasswords  抓取密碼
net view /domain  查詢域列表
net time /domain  判斷主域
net user /domain  查詢域內用戶

獲取到內網域相應的信息

3.存活主機探測和獲取憑證

• 內網橫向探測

  獲取到一個 cs 的 beacon 后可以目標內網情況和端口開放情況，在 beacon 上右鍵 -> 目

  標 -> 選擇 net view 或者 port scan：

可以在菜單欄中，view視窗的targets選項中查看

• 用 cs 的 hashdump 讀內存密碼：hashdump，用 mimikatz 讀注冊表密碼：logonpasswords。獲取相應賬戶憑證

  或者：

  右鍵->Access->Dump Hashes（需要Administrator權限）

  右鍵->Access->Run Mimikatz

可以在憑證欄中查看獲取的憑證

4.SMB Beacon和psexec傳遞（msf中的hash傳遞攻擊）

在探測到其他兩個內網機器開了445端口的前提下，可以使用SMB beacon獲取。相當于在msf里面使用永恒之藍獲取shell。有兩種方法

• 直接派生，新建一個listener，pyload設置為beacon_smb

在已有的 Beacon 上右鍵 Spawn(生成會話 / 派生)，選擇創建的 smb beacon 的 listerner：

選擇后會反彈一個子會話，在 external 的 ip 后面會有一個鏈接的小圖標：

這就是派生的 SMB Beacon，當前沒有連接，可以在主 Beacon 上用 link host 連接它，或者unlink host 斷開

就是說通過之前的beacon為跳板通過SMB去連接新beacon獲取權限shell

可以在視圖界面查看圖形化連接情況

• 前面橫向探測已經獲取到內網內的其他 Targets 以及讀取到的憑證信息，嘗試使用 psexec

  模塊登錄其他主機，右鍵選擇一臺非域控主機 ROOT-TVI862UBEH 的 psexec 模塊：

• 在彈出的窗口中選擇使用 god.org 的 Administrator 的憑證信息，監聽器選擇之前創建的

  smb beacon，會話也選擇對應的 smb beacon 的會話：

• 成功上線，并返回新的beacon

5.另一種方式token 竊取

除了直接使用獲取到的 hash 值，也可以直接竊取 GOD\Administrator 的 token 來登錄其

他主機，選擇 beacon 右鍵 -> 目標 -> 進程列表，選擇 GOD\Administrator 的 token 盜取：

找到相應賬戶的conhost.exe信息，獲取其token

再在之前獲取的憑證中選擇相應賬戶，勾選token選項就好了

補充;

6.cs與MSF會話傳遞

• MSF 創建監聽自己的 ip 跟端口：

• CS 創建監聽 listeners，Listeners 的 ip 為 msf 的 ip，端口為 msf 監聽的端口（注：如果

  msf 是內網下的，則需要把端口映射到公網，或者使用 ngrok 等工具做流量轉發）

• 回到 cs 上，選中拿下的計算機會話，右鍵選中 spawn，然后在彈出來的框中選擇剛剛創

  建的 listeners 監聽器，然后執行。

• msf收到會話

回答所涉及的環境：聯想天逸510S、Windows 10。