Введение
Добрый день, ранее мы уже рассказывали что такое Aggressor-скрипты, также про их самостоятельное написание.
В этой статье хотим показать пример репозитория содержащий большое количество Aggressor-скриптов для Cobalt Strike, чтобы вы не тратили время на написание данного функционала.
Репозиторий со скриптами вы можете скачать по следующей ссылке https://github.com/shorefall/LSTAR-EN.
Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.
Установка
Скрипты можно скачать с GitHub:
git clone https://github.com/shorefall/LSTAR-ENДалее заходим в наш клиент Cobalt Strike и открываем Менеджер скриптов (Script Manager).
Импортируем файл LSTAR.cna.
Теперь в контекстном меню нашего бикона мы можем использовать данный скрипт.
Обзор возможностей
Перечислим основные модули, входящие в набор скриптов:
-
Information Gathering.
-
Intranet Scan.
-
Intranet penetration.
-
Privilege Escalation.
-
Credential acquisition.
-
RDP Related.
-
Lateral movement.
-
Trace removal.
-
Cloning_adding Users.
-
Misc Desktop Control.
Рассмотрим на примерах некоторые из них:
-
Название используемого антивирусного решения скомпромитированном хосте.
-
Отключение и включение
RDP-сервиса.
Проверяем порт и видим, что он закрыт:
Теперь пробуем включить службу RDP через RDP Related → Turn on RDP service и проверяем с помощью nmap:
-
Создание локального пользователя (с целью одного из вариантов закрепления на скомпрометированном хосте).
Нажимаем Persistence → SharpShadowUser
Как видим, у нас создаелся пользователь.
Пробуем подключиться учетными данными, которые выдал бикон Cobalt Strike:
-
Повышение привилегий через
BadPotato.
Вводим команду, которую необходимо выполнить:
Ниже представлен результат выполнения нашей команды через BadPotato:
Также можно запускать не только команды из cистемного инструментария, но и процессы, которые будут выполняться в контексте учетной записи nt authoritysystem.
-
Сканирование портов.
Для сканирования портов используется утилита fsan. fscan - это комплексный инструмент сканирования в сети, удобный для автоматического и всенаправленного сканирования пропущенных объектов. Он поддерживает сканирование портов, сканирование общих служб, ms17-010, пакетную запись открытого ключа Redis, оболочку восстановления запланированной задачи, чтение информации о сетевой карте Win, идентификацию веб-отпечатков пальцев, сканирование веб-уязвимостей, обнаружение netbios, идентификацию управления доменом и т.д.
Перед использованием необходимо сначала загрузить fscan на хост через Upload Fscan и запустить следующим образом:
-
Получение учетных данных из
GPP(Настройки групповой политики).
GPP — это инструмент, который предоставляет администраторам некоторые расширенные возможности по настройке и управлению политикой учетных записей в сети домена Windows.
В данном примере нету пароля в групповых политиках. Также вы можете почитать о расшифровке пароля, если он есть, в этой статье: https://infosecwriteups.com/attacking-gpp-group-policy-preferences-credentials-active-directory-pentesting-16d9a65fa01a.
-
Получение пароля в открытом виде с помощью https://github.com/bitsadmin/fakelogonscreen
FakeLogonScreen — это утилита для имитации экрана входа в Windows с целью получения пароля пользователя. Введенный пароль проверяется в Active Directory или на локальном компьютере, чтобы убедиться в его правильности, а затем отображается на консоли или сохраняется на диске.
Полезность этой утилитой высока так как ее используют многие Red Team команд.
-
Использование
PowerView.
Powerview - это PowerShell-скрипт, необходимый для сбора информации в домене Active Directory.
Перед его использованием в рамках скрипта LSTAR сначала необходимо загрузить его на хост, а потом импортировать:
Теперь мы можем, к примеру, запросить пользователей в домене:
В результате Cobalt Strike нам выдаст список следующих пользователей:
Заключение
В данной статье мы с Вами рассмотрели использование набора Agressor-скриптов LSTAR, которые облегчат Вам сбор информации и компрометацию активов при выполнении проектов по тестированию на проникновение.
Подписывайтесь на наш Telegram-канал https://t.me/giscyberteam
Автор: GorillaHacker
