从‘上线’到‘控域’：用CobaltStrike插件+MS14-058实战内网横向移动全记录

从权限提升到域控突破：CobaltStrike在内网渗透中的高阶应用

当安全研究人员从外网突破进入内网后，真正的挑战才刚刚开始。面对复杂的域环境、层层防护的内部网络，如何高效地进行横向移动成为渗透测试的关键环节。CobaltStrike作为一款成熟的商业渗透测试工具，其强大的插件体系和灵活的模块化设计，为安全人员提供了从单点突破到全域控制的完整解决方案。

1. 环境搭建与基础配置

在开始内网渗透之前，确保测试环境配置正确至关重要。一个典型的域环境渗透测试需要至少三台主机：攻击机、普通域成员服务器和域控制器(DC)。

推荐测试环境配置：

• 攻击机(Kali Linux)：192.168.1.100
• 域成员服务器(Windows Server 2012)：192.168.1.101
• 域控制器(Windows Server 2016)：192.168.1.102

在Kali上启动CobaltStrike团队服务器：

./teamserver 192.168.1.100 yourpassword

连接客户端时需要注意的几个关键点：

• 使用正确的IP和端口（默认50050）
• 验证SSL证书指纹是否匹配
• 设置合理的Sleep时间（建议初始值为60s）

提示：在实际渗透中，建议使用CDN或云函数隐藏真实C2服务器IP，避免被快速定位。

2. 权限提升与插件应用

当普通主机上线后，获取System权限是横向移动的第一步。CobaltStrike自带的Elevate插件功能有限，需要加载第三方插件扩展攻击面。

常用提权插件对比：

加载插件后执行提权操作：

elevate ms14-058 listener_name

成功提权后，应立即进行以下操作：

1. 转储内存凭证（使用Mimikatz）
2. 收集网络拓扑信息
3. 检查本地防火墙规则
4. 查找域内共享资源

3. 凭证获取与信息收集

获取域内凭证是横向移动的核心。CobaltStrike内置的Mimikatz模块可以高效提取各类凭证信息。

执行凭证转储的几种方式：

• 直接运行Mimikatz：mimikatz sekurlsa::logonpasswords
• 使用内置命令：logonpasswords
• 通过UI界面：Access → Run Mimikatz

收集到的信息应重点关注：

• 域管理员账户
• 服务账户凭证
• 保存的RDP凭据
• 浏览器保存的密码

信息收集命令速查表：

4. 横向移动技术实战

获得足够凭证后，可以开始向域内其他主机扩展。CobaltStrike提供了多种横向移动方法，各有适用场景。

常用横向移动技术对比：

使用Psexec进行横向移动的典型流程：

1. 在Targets视图中选择目标主机
2. 右键选择"Jump → Psexec"
3. 选择正确的监听器和凭证
4. 设置合适的服务名称和显示名称
5. 执行并等待新会话建立

对于更隐蔽的横向移动，可以考虑：

spawnas DOMAIN\user password listener_name

5. 域控突破与权限维持

接近域控制器是整个内网渗透的高潮阶段。此时需要特别注意操作的安全性和隐蔽性。

域控突破的几种路径：

1. 利用域管理员凭证直接连接
2. 通过域内服务器中继攻击
3. 利用域服务漏洞（如Zerologon）
4. 滥用域信任关系

成功控制域控后，应立即采取权限维持措施：

• 创建黄金票据(Golden Ticket)
• 部署域持久化后门
• 捕获域组策略修改权限
• 导出域内所有用户哈希

生成黄金票据的命令示例：

mimikatz kerberos::golden /user:Administrator /domain:domain.com /sid:S-1-5-21-... /krbtgt:hash /ticket:golden.kirbi

在实际渗透测试中，每个操作都应记录详细日志，包括：

• 执行时间
• 使用的方法和技术
• 获取的凭证和权限
• 影响的系统范围

内网渗透是一项需要耐心和细致的工作，CobaltStrike提供的自动化功能和可视化界面大大提高了效率，但真正的核心在于测试人员对域环境的理解和临场应变能力。