记一些 CobaltStike 的一些基本操作与说明

说明

记录的是 Cobaltstrike 的一些基本操作， 相比较于一些教程，此文章并不会教如何使用，只是一些没有去注意的问题。

横向移动

引用一下官方文档

使用 Beacon 的 psexec [target] [share] [listener]在远程主机上执行有效负 载。此命令将为您的侦听器生成 Windows 服务可执行文件，将其复制到您指定 的共享，创建服务，启动服务以及自行清除。默认共享包括 ADMIN `和 C`。 使用 psexec_psh [target] [listener]使用 PowerShell 在远程主机上执行有效 负载。此命令将创建一个服务来运行PowerShell 单行程序，启动它并自行清除。 如果您不想接触磁盘，这种横向移动方法很有用。

一开始以为 psh 的横向是以被控目标用 powershell 进行横向，然后发现有的机器却不能上线。随后现是攻击目标用 powershell 上线，对于没 ps 的机器用第一个横向，或者其他横向方法，而且听说 Cs 的 winrm 和 wmi 的横向模块有点问题。

timestomp

引用一下 ATT&CK

*Timestomping*是一种修改文件时间戳（修改，访问，创建和更改时间）的技术，通常用于模拟同一文件夹中的文件

引用一下官方文档

使用 timestomp 将一个文件的 Modified，Accessed 和 Created 时间与另一个文件的时间相匹配

简单点说就是修改文件的创建时间那些
使用方法:timestomp 要修改的文件(1.jpg) 匹配的文件(2.jpg)

端口扫描

Beacon 有一个内置端口扫描器。
使用 portscan [targets] [ports] [discovery method]来启动端口扫描器程序。
您可以指定以逗号分隔的目标范围列表。端口也是如此。
例如，端口扫描 172.16.48.0/24 1-1024,8080 将在端口 1 到 1024 和 8080 上扫描主机范围 172.16.48.0 到 172.16.48.255。
三种扫描方式:arp icmp none
arp 方法使用 ARP 请求来发现主机是否处于存活状态
icmp 方法发送 ICMP echo 请求来检查目标是否处于存活状态
none 选项告诉 portscan 工具假定所有主机都处于存活状态 `

横向移动的一些错误代码

因为 psexec 横向是基于 net use 的所以大部分错误都是 net use 的问题
大部分的问题都是密码错误，或者权限不够和sid不为500（账号密码对却net use 不上），因为08 12以后sid不为500的问题，其他的问题由于目前知识盲区就不知道了

错误号 5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；
错误号 51，Windows 无法找到网络路径 : 网络有问题；
错误号 53，找不到网络路径 ： ip 地址错误；目标未开机；目标 lanmanserver 服务未启动；目标有防火墙（端口过滤）；
错误号 67，找不到网络名 ： 你的 lanmanworkstation 服务未启动；目标删除了 ipc$；
错误号 1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个 ipc$，请删除再连。
错误号 1326，未知的用户名或错误密码 ： 原因很明显了；
错误号 1792，试图登录，但是网络登录服务没有启动 ： 目标 NetLogon 服务未启动。（连接域控会出现此情况）
错误号 2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。