记一些 CobaltStike 的一些基本操作与说明

本贴最后更新于 1847 天前,其中的信息可能已经东海扬尘

说明

记录的是 Cobaltstrike 的一些基本操作, 相比较于一些教程,此文章并不会教如何使用,只是一些没有去注意的问题。

横向移动

引用一下官方文档

使用 Beacon 的 psexec [target] [share] [listener]在远程主机上执行有效负 载。此命令将为您的侦听器生成 Windows 服务可执行文件,将其复制到您指定 的共享,创建服务,启动服务以及自行清除。默认共享包括 ADMIN `和 C`。 使用 psexec_psh [target] [listener]使用 PowerShell 在远程主机上执行有效 负载。此命令将创建一个服务来运行PowerShell 单行程序,启动它并自行清除。 如果您不想接触磁盘,这种横向移动方法很有用

一开始以为 psh 的横向是以被控目标用 powershell 进行横向,然后发现有的机器却不能上线。随后现是攻击目标用 powershell 上线,对于没 ps 的机器用第一个横向,或者其他横向方法,而且听说 Cs 的 winrm 和 wmi 的横向模块有点问题。
image.png

timestomp

引用一下 ATT&CK

*Timestomping*是一种修改文件时间戳(修改,访问,创建和更改时间)的技术,通常用于模拟同一文件夹中的文件

引用一下官方文档

使用 timestomp 将一个文件的 Modified,Accessed 和 Created 时间与另一个文件的时间相匹配

简单点说就是修改文件的创建时间那些
使用方法:timestomp 要修改的文件(1.jpg) 匹配的文件(2.jpg)

端口扫描

Beacon 有一个内置端口扫描器。
使用 portscan [targets] [ports] [discovery method]来启动端口扫描器程序。
您可以指定以逗号分隔的目标范围列表。端口也是如此。
例如,端口扫描 172.16.48.0/24 1-1024,8080 将在端口 1 到 1024 和 8080 上扫描主机范围 172.16.48.0 到 172.16.48.255。
三种扫描方式:arp icmp none
arp 方法使用 ARP 请求来发现主机是否处于存活状态
icmp 方法发送 ICMP echo 请求来检查目标是否处于存活状态
none 选项告诉 portscan 工具假定所有主机都处于存活状态 `

横向移动的一些错误代码

因为 psexec 横向是基于 net use 的所以大部分错误都是 net use 的问题
大部分的问题都是密码错误,或者权限不够和sid不为500(账号密码对却net use 不上),因为08 12以后sid不为500的问题,其他的问题由于目前知识盲区就不知道了

错误号 5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号 51,Windows 无法找到网络路径 : 网络有问题;
错误号 53,找不到网络路径 : ip 地址错误;目标未开机;目标 lanmanserver 服务未启动;目标有防火墙(端口过滤);
错误号 67,找不到网络名 : 你的 lanmanworkstation 服务未启动;目标删除了 ipc$;
错误号 1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个 ipc$,请删除再连。
错误号 1326,未知的用户名或错误密码 : 原因很明显了;
错误号 1792,试图登录,但是网络登录服务没有启动 : 目标 NetLogon 服务未启动。(连接域控会出现此情况)
错误号 2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...