cobaltstrike SMB beacon

最近用cobalt strike内网渗透的时候，遇到一个情况。就是明明得到了域控的用户名密码，但是无法拿下来，cs一直上不了线，自己就很纳闷。后来查阅资料才发现也许是域控不能出网，所以cs上不了线。

最后找到了一个解决方法，可以通过smb beacon连接上线。这次我们就来演示一下。

环境：

windows 2008 域控 （不能出网）192.168.220.129

windows 2003 可以出网 192.168.220.128

先让03上线，然后抓取密码，这里很奇怪，cs自带的mimikatz居然抓不到？没办法，只能自己上传mimikatz，成功抓到了。

cs自带mimikatz

自己上传的mimikatz

然后我们通过内网信息收集，找到域控。扫描一下端口，准备内网渗透。

我们来介绍一些smb beacon。这种上线方式走的是 SMB 协议, 正向连接, 目标机器必须开启 445 端口, 同时利用命名管道来执行命令, 对于那些在内网中无法出网的机器就特别好用. 但是并不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线.

话不多说，我们来看看效果，

常规方法

传输一个exe上去，回连地址是cs服务器的ip，但是目标无法连接到外网ip，因此无法上线，还不安全

smb beacon 

回连地址是192.168.220.129，而这个是可以出网的，再有220.129回连到cs服务器，因此就解决了域控不能出网的问题

上线后的样子

题外话：

这次实验做完就要换cs4.0了，现在估计已经到处流传了。本来是用hyper-v 搭建的，结果刚试验成功，没来得及做笔记就蹦了，只能又换成vm了。那我为啥要折腾hyper-v呢？ 

原文始发于微信公众号（backdoor）：cobaltstrike SMB beacon