Руководство по Cobalt Strike для самых маленьких. Часть 2
@Leakinfo![](/file/27fe0aad434700a5c9f7f.png)
Проникновение — только первый этап взлома сети. Дальше ещё необходимо в ней закрепиться, получить учетные записи пользователей и обеспечить возможность запуска произвольного кода на всех компах. С этой задачей отлично справляется Cobalt Strike, который давно и горяче любим как пен-тестерами, так и различными хакерскими группировками по всему миру. Мы продолжаем цикл статей об этом замечательном инструменте.
В первой части, мы изучали доставку полезной нагрузки и получали максимальные права в системе, а сегодня тебе предстоит узнать, что такое lateral movement, как сканировать сеть с помощью модуля portscan, как запускать прокси сервер в сети, как “подружить” metasploit с кобальтом, а также научитесь осуществлять атаки pass-the-hash.
Что такое lateral movement?
Боковое перемещение относится к методам, которые атакующие используют после получения первоначального доступа для дальнейшего передвижения в сети. Боковое перемещение позволяет избежать обнаружения и сохранить доступ, даже если нас обнаружат на машине, которая была заражена ранее.
Для перемещения по сети нам потребуются:
Действительные учетные данные для входа. Один из способов получить эти учетные данные — обманом заставить пользователей делиться ими с помощью тактики социальной инженерии, Вы также можете найти пароли или логины в файлах на сервере.
Атака pass-the-hash — метод аутентификации без доступа к паролю пользователя. Этот метод обходит стандартные шаги аутентификации, захватывая действительные хэши паролей, которые после аутентификации позволяют злоумышленнику выполнять действия в локальных или удаленных системах.
Mimikatz — используются для кражи кэшированных паролей открытого текста или сертификатов аутентификации из памяти скомпрометированной машины. Затем их можно использовать для аутентификации на других компьютерах.
Metasploit — один из мощнейших инструментов, который могут использовать как киберпреступники, так и «белые хакеры» и специалисты по проникновению для исследования уязвимостей в сетях и на серверах. Поскольку это фреймворк с открытым исходным кодом, его можно легко настроить и использовать на большинстве операционных систем.
Без лишних слов перейдем сразу к практике
Допустим, у нас есть пользователь, с правами администратора и мы хотим получить доступ к другим машинам в этой сети, что делать? Ответ — дампить пароли других пользователей!
![](https://img3.teletype.in/files/2d/46/2d46f341-0f59-467e-8e49-df7289941404.jpeg)
Сделать это можно командой hashdump:
![](https://img2.teletype.in/files/1d/ad/1dad8230-98ef-4d24-b7dc-a8c6b31b1dab.jpeg)
Или с помощью Mimikatz, командой logonpasswords:
![](https://img1.teletype.in/files/ca/f0/caf01ee3-79ed-4d03-87e6-d3787bab10a9.jpeg)
Ищем доступные хосты
После получения паролей, нам нужно найти доступные для атаки системы, для этого воспользуемся командой portscan:
![](https://img2.teletype.in/files/1e/5f/1e5f8042-a726-4314-b904-405b96e0d32d.jpeg)
![](https://img4.teletype.in/files/bd/cb/bdcb5ae7-8cce-4d4b-8c2a-691f39b387a3.jpeg)
Получить айпи мы также можем из вывода команды arp:
![](https://img1.teletype.in/files/41/f8/41f81cf5-4270-4676-bb71-e94166c73a0e.jpeg)
Используя net view, мы также получаем список машин, их домены и версию системы:
![](https://img4.teletype.in/files/3e/47/3e47e7ab-aaec-4321-9acc-b8bda12cd969.jpeg)
После сканирования, во вкладке targets появятся новые хосты:
![](https://img4.teletype.in/files/72/c6/72c6260d-d4cf-4b5d-bee4-ae278b47054c.jpeg)
Получаем доступ с помощью pass-the-hash
Для этого нажимаем ПКМ по одной из доступных машин и выбираем psexec_psh, далее указываем данные пользователя из нашего домена, listener, а также сессию, с которой будет осуществляться атака:
![](https://img4.teletype.in/files/3b/8f/3b8f9bfd-78dd-4ca3-acb2-ed01bf08d8f1.jpeg)
![](https://img4.teletype.in/files/33/ae/33ae468e-df95-4e02-b384-9b1cec634e73.jpeg)
Если атака прошла успешно, спустя несколько секунд мы получим отстук и сможем осуществлять дальнейшее перемещение по сети или сбор данных:
![](https://img3.teletype.in/files/60/77/60778461-8d54-436d-ba88-aff3ae2d0a50.jpeg)
![](https://img2.teletype.in/files/1b/9b/1b9b3d16-ff33-42e2-a96c-f244866fbdac.jpeg)
![](https://img3.teletype.in/files/26/d7/26d703f5-347f-4dc1-889b-357bb4efb131.jpeg)
Используем Metasploit и другое ПО с кобальтом
С помощью модуля встроенного в Cobalt Strike мы можем создать себе доступ в атакуемую сеть через прокси сервер, для этого в консоли нам нужно перевести сессию в интерактивный режим и после этого с помощью socks порт запустить прокси сервис:
![](https://img3.teletype.in/files/e9/72/e972f48b-a536-4c6e-9540-c50142041959.jpeg)
Теперь мы можем использовать proxychains для доступа в сеть, чтобы всё работало нужно в файле конфигурации (/etc/proxychains.conf) добавить строку socks4 айпи_тимсервера порт. После этого вы сможете запускать nmap, enum4linux, скрипты Python в атакуемой сети, пример команды:
proxychains nmap 192.168.1.100 -p 445
Чтобы использовать Metasploit, во вкладке proxy pivots нужно выбрать сессию с прокси, нажать tunnel, после чего скопировать однострочную команду и ставить её в консоль Metasploit:
![](https://img2.teletype.in/files/94/2f/942fe740-27c4-436b-9a30-bd9c6b77f605.jpeg)
![](https://img1.teletype.in/files/8d/3f/8d3f81ce-4786-4b42-884b-21eca6bb1608.jpeg)
Теперь любой модуль Metasploit будет пускать трафик через прокси прямо в атакуемую сеть, что значительно облегчает использование эксплоитов и сканеров. Для примера я запустил сканер eternalblue, это достаточно известная (хоть и уже старая) уязвимость, которую частенько можно встретить внутри сети, она затрагивает почти все версии Windows, вплоть до 8.1:
![](https://img2.teletype.in/files/dc/d2/dcd2e3c7-ce54-4ab3-9ace-c54d4ec268ce.jpeg)
Спустя какое-то время сканер нашёл уязвимый хост:
![](https://img4.teletype.in/files/39/dc/39dc2e13-3ab2-46b8-abb1-eb96eef52318.jpeg)
Использование модуля Metasploit выглядит следующим образом:
![](https://img1.teletype.in/files/0e/29/0e29b08f-e35b-426c-a85b-46822b397b11.jpeg)
При эксплуатации я использовал стандартный пейлоад (при желании вы можете указать windows/meterpreter/reverse_http и получить отстук сразу в кобу) и получил сессию meterpreter, после чего запустил однострочный PS скрипт доставки пейлоада кобальта:
![](https://img4.teletype.in/files/34/9a/349ac486-ef3a-4fd4-a8cd-20d2eb95b99c.jpeg)
Также бывают случаи, когда сессию кобальта необходимо передать в метасплоит, для этого нужно создать отдельный foreign http listener, в котором указать айпи и порт Metasploit:
![](https://img3.teletype.in/files/e6/12/e61282b5-bd51-485b-b2db-e9a356189125.jpeg)
В метасплоите нужно выбрать exploit/multi/handler с пейлоадом windows/meterpreter/reverse_http и указать там свои порт и айпи. После передачи или создании сессии в кобальте мы получим коннект meterpreter:
![](https://img2.teletype.in/files/17/67/17677051-93f4-4754-8c29-51f0c13f5b07.jpeg)
Мы также можем получить доступ в сеть, используя autoroute в сессии meterpreter, работает это также как и socks прокси:
![](https://img1.teletype.in/files/05/e6/05e69922-73a1-406a-b92f-aaefbffe9219.jpeg)
С помощью всё того же eternalblue мне удалось получить доступ к ещё одному серверу, но уже в другой сети:
![](https://img3.teletype.in/files/e5/00/e500bfb1-8be1-4641-8f60-0050a5dc57fa.jpeg)
Используя техники описанные выше, я смог получить доступ к серверам с бэкапами, базами данных и личными документами сотрудников:
![](https://img2.teletype.in/files/d4/da/d4dae750-a3ea-49fc-b9f9-5dc53f2f651f.jpeg)
Как видишь, ничего сложного. Надо было только разобраться… Удачного взлома…
Source cybersec.org
- 🦋 Слитая информация - @Leakinfo
- 🎭 Наша группа > - Точка входа
- ❤️ Поблагодарить Bitcoin