Question

您在第二个命令和控制设备上，获得了新的 Cobalt Strike 静荷连接，即使蓝队发现了行动中的蛛丝马迹，您也可以保持访问权限。当前连接具有系统权限，您搜索设备，在文本文件、浏览器和 WinSCP 配置文件中找到大量的凭证。这个共享设备是一个“金矿”，连接到多个服务器和数据库。您注意到此计算机位于不同的 VLAN 上。看起来这个系统可以访问 Neil 以前无法访问的多个系统。您再次运行命令，通过 Bloodhound 查看系统连接关系。您注意到，网络中很多系统无法访问 Internet，因此您无法运行 HTTP 信标。但是，由于使用的是 Cobalt Strike，因此您知道 Cobalt Strike 平台的一个特点是可以通过突破主机的命名管道（SMB）实现隧道传输。

这意味着在实验室 VLAN 网络中，已突破的系统可以通过 CSK 公司实验室的设备路由到互联网。此外，运行 systeminfo 命令，获取 Windows Patch 级别，您发现这些部分隔离的设备没有打补丁。看起来客户端计算机运行 Windows 7 操作系统，并且没有针对 EternalBlue 漏洞打补丁。