当前位置：网站首页>Cobalt strike from starting to Imprisonment (3)

Cobalt strike from starting to Imprisonment (3)

2022-06-22 09:51:00 【Sword Heart】

1.Fonctionnement de l'hôte accusé

Après avoir fait un clic droit sur l'hôte contrôlé：

Interact //Ouvre.beacon

Access

dump hashes //Accèshash

Elevate //Droit de rétractation

Golden Ticket //Générer un billet d'or pour injecter dans la session en cours

MAke token //Conversion des bons

Run Mimikatz //Exécution Mimikatz

Spawn As //Générer avec d'autres utilisateursCobalt StrikeDebeacon

Explore

Browser Pivot //Détournement du processus du navigateur cible

Desktop(VNC) //Interaction de bureau

File Browser //Navigateur de fichiers

Net View //Les ordresNet View

Port scan //Scanner de port

Process list //Liste des processus

Screenshot //Capture d'écran

Pivoting

SOCKS Server //Services de représentation

Listener //Transfert de port inverse

Deploy VPN //DéploiementVPN

Spawn // Nouveau mode de communication et génération de sessions

Session //Gestion des sessions,Supprimer,Rythme cardiaque,Sortie,Remarques

2.dumphash

Il est également possible de passer directement parbeaconDans la consolehashdumpLes ordres, Cette commande agit pour dériver une injection de tâche LSASS Processus,dump Hachage du mot de passe de l'utilisateur local dans le système actuel ,AvechashdumpEffet équivalent

3.Elevate Droit de rétractation

Il y a différentes façons de revendiquer le pouvoir ici.

3.1 svc-exe Droit de rétractation

Pour augmenter les permissions ,Utilisation similairemsfMoyennegetsystemLes ordres

Science populaire IIgetsystem Principe de l'autorité de commande

1.Créer unsystem Programmes initiés par les permissions , Le but de ce programme est de connecter le tuyau nommé spécifié .

2.Créer un processus, Et laissez le processus créer un pipeline nommé .

3. Que le précédent soit system Les programmes initiés par permission démarrent et connectent ce tuyau nommé .

4.UtilisationImpersonateNamedPipeClient()Génération de fonctionssystemPermissionstoken.

5.UtilisationsystemPermissionstokenDémarragecmd.exe.

Après un clic droit sur l'hôte contrôlé ,ElevateDroit de rétractation,Sélectionnersvc-exeCliquez surlaunchExécution

Génère un auto - démarrage basé sur le service sur la machine cible exeProcédure,RéactiveService Control Manager Les ordres

Une fois l'autorisation accordée, elle sera approuvée. system La permission de se connecter à l'auditeur spécifié ,Et danscs Le serveur génère une nouvelle session

3.2 uac-token-duplication Droit de rétractation

Le principe de cette revendication est qu'elle crée un processus temporaire avec des privilèges élevés , Puis une charge utile est injectée （playload stage） Renvoie l'auditeur spécifié ,Et danscs Le serveur génère une nouvelle session .Cette attaque exploite UACVulnérabilité, Permettre au processus non privilégié de démarrer n'importe quel processus en utilisant un jeton volé du processus privilégié . La vulnérabilité exige qu'un attaquant supprime les permissions assignées au jeton d'autorisation , La capacité de votre nouvelle session reflétera ces droits restreints .Si「Toujours informer」 Au réglage le plus élevé , Le processus de demande d'autorisation pour cette attaque est déjà en cours d'exécution dans la session de bureau actuelle （ En tant qu'utilisateur unique ）.In2018Année11 Avant la mise à jour mensuelle , L'attaque a eu lieu Windows 7EtWindows 10Ça marche..

runasadmin uac-token-duplication [Les ordres] C'est la même attaque que celle décrite ci - dessus , Mais cette déformation est dans une revendication
Exécuter la commande de votre choix dans le contexte de .

runasadmin uac-cmstplua [Les ordres] On va essayer de contourner UAC Et exécuter la commande dans un contexte de revendication . Cette attaque dépend de COM Objet, L'objet est automatiquement extrait d'un processus spécifique （ Signé par Microsoft ,Situé à c:\windows\* Sous la table des matières） Dans le contexte
Droits.

3.3 ms14-058|ms15-015|ms16-016|ms16-032|ms16-032|ms16-315

C'est pareil. ,Adoptionwindows Vulnérabilité locale à la revendication

3.4 juicypotato Jus de pomme de terre

Principes et processus de réalisation des pommes de terre juteuses

1.ChargementCOMEt envoyer la demande,À préciserip Et l'emplacement du port a essayé de charger un COMObjet
2. Étapes de réponse 1Demandes,Et de lancerNTLMCertification,En raison de permissions insuffisantes, Impossible d'authentifier avec succès
3. Lancé également pour le port local NTLMCertification, Permission de l'utilisateur actuel
4. Interceptez deux. NTLM Paquets certifiés ,Remplacer les données,AdoptionNTLM Le Replay fait que l'étape 1 Certification acceptée ,ObtenirsystemPermissionstoken
5.UtilisationsystemPermissionstokenCréer un nouveau processus,Si onSeImpersonateAutorité,AppelezCreateProcessWithToken,EntréeSystemPermissionsToken, Le processus créé est SystemAutorité, Ou si on SeAssignPrimaryTokenAutorité,AppelezCreateProcessAsUser,EntréeSystemPermissionsToken, Le processus créé est SystemAutorité.

3.5 compmgmt Droit de rétractation

AdoptionwindowsDecompmgmt Gestion informatique , Je ne sais pas comment le faire. , Il y a trop peu d'informations en ligne sur ce sujet

3.6 rottenpotato Les pommes de terre pourries

Les pommes de terre pourries. ,C'est ce qu'on appelle.MS16-075,Vous pouvezWindows Les privilèges sur le poste de travail passent du niveau le plus bas à “ NT AUTHORITY \ SYSTEM” – Windows Niveau de privilège le plus élevé disponible sur l'ordinateur .（DeWindows Mise à jour des permissions locales du compte de service au système ）

Principes et processus

1.Tricher “NT AUTHORITY\SYSTEM”Adoption du compteNTLMCertifié pour contrôlerTCPTerminal.
2.L'utilisation d'attaques d'intermédiaires pour ce processus d'authentification（NTLMReplay）,Pour“NT AUTHORITY\SYSTEM”.Le compte négocie localement un jeton de sécurité.Ce processus se déroule par une série deWindows APIAppeler la mise en œuvre.
3.Imiter ce jeton.Seulement avec“Imiter les permissions de jetons de sécurité”Pour imiter les jetons des autres.En général, la plupart des comptes de services（IIS、MSSQLAttendez.）Avec cette permission,La plupart des comptes au niveau de l'utilisateur n'ont pas cette permission.

3.7 uac-eventvwr

Via le registre,Utilisationeventvwr.exe Nous chargerons automatiquement exp,À ce moment - là.eventvwr.exe Pour les permissions élevées , Pour obtenir un effet de revendication

3.8 uac-dll

UtilisationUACVulnérabilité,Prends le nôtre.expProduitdll Copier à un endroit précis pour obtenir un effet de revendication ,Peut être contournéUAC

3.9 uac-wscript

C'est unempire Contournement dans UACModule,En utilisantwscript.exe Pour mettre en œuvrepayload, Exécuter avec les privilèges d'administrateur payload,Limité àwin7Utilisation sur

4.Run Mimikatz

logonpasswords Les commandes utiliseront mimikatz Pour récupérer les mots de passe en texte clair et les hachages des utilisateurs connectés au système actuel .

logonpasswords La commande est équivalente à [beacon] → Access → Run Mimikatz .

En utilisant ces commandesdump Les justificatifs d'identité qui descendent seront Cobalt Strike Collecte et stockage dans le modèle de données des justificatifs d'identité .Adoption View →
Credentials Pour extraire les identifiants de vue du serveur d'équipe actuel .