20160715瞎鸡巴讨论WIndows渗透
windows能执行命令就几种可能.
at schtasks sc runas psexec wmic wmiexec smbexec rdp(3389)
启动WMI服务,开放135端口.
psexec 需要 ADMIN$共享
smbexec ADMIN$共享 或者 c$共享 ; 高版本可能有UAC限制.
域成员所在的组能rdp过去.
例如一个环境:
你有一个Shell是Windows操作系统,连不到域控; 出不来.
有变态的杀软,你传的exe可能会被限制.
自己也不是Administrator权限,提不了权,还有UAC最新的你也过不了.
你要想着用账号密码连到其他机器,然后down hash. 然后解.
有可能在其他电脑抓到域控的hash, 你要你的Shell->内网机器->域控. 而且要在命令行下面操作,把域控的ntduil这个数据库弄出来.
http tunnle也不行.
新的Windows 没有 at 只有wmic scthask.
你只有一个webshell你也交互不了.
自己也不是Administrator权限,提不了权,还有UAC最新的你也过不了.
你自己连不到域控; 出不来.
有变态的杀软,你传的exe可能会被限制.
http tunnle也不行.
你只有一个webshell你也交互不了.
你就一个User权限. 你要怎么在内网搞其他机器. 怎么在内网down 其它 Hash.
我:
对 你可以这么理解 哈哈哈
我:
这个简单的话语 总结得好
我:
能在理论上行得通这个的人 绝对是个好苗人 甚至是大牛.
肯定 对Windows 常用机制特性了解. 对Windows域也了解. 对网络环境也了解. 有经验.
点有点接近. 但是你两个问题要说.
1.你用什么东西去down 内网的hash.
2.简单说说你的思路,用什么方法 命令 或者工具.
3.怎么打包传输.
php 可以扫端口啊 有特定的端口可以去日 php可以get post socket.
有简单的协议redis mongo这些 或许可能搞搞.
访问内网应用信息file_get_contents最简单了.
这么严格的网络环境,你拿到的Shell肯定不是system权限.
1. 新建bat批处理;批处理不需要Administrator权限;没有UAC杀软限制.
2.批处理的内容用net use 连接猜密码. nbtstat -A ip 获取netbios信息.
3.直接copy 东西过来;或者copy东西过去都没问题. rar zip.vbs jar makecab\expand打包都没问题.
4.本地hash 直接reg sam reg system完美解决.
4.执行命令用wimexec 或者 schtasks 执行.
5.down hash用procdump.exe.
6.假如我连到了域控 vssown.vbs 或 vssadmin.exe能导出卷影
ShadowCopy.bat
http://drops.wooyun.org/tips/6617
vssadmin
https://www.91ri.org/4812.html
有administrator权限的话可以直接用powershell
http://drops.wooyun.org/tips/10181
at schtasks sc runas psexec wmic wmiexec smbexec rdp(3389)
启动WMI服务,开放135端口.
psexec 需要 ADMIN$共享
smbexec ADMIN$共享 或者 c$共享 ; 高版本可能有UAC限制.
域成员所在的组能rdp过去.
例如一个环境:
你有一个Shell是Windows操作系统,连不到域控; 出不来.
有变态的杀软,你传的exe可能会被限制.
自己也不是Administrator权限,提不了权,还有UAC最新的你也过不了.
你要想着用账号密码连到其他机器,然后down hash. 然后解.
有可能在其他电脑抓到域控的hash, 你要你的Shell->内网机器->域控. 而且要在命令行下面操作,把域控的ntduil这个数据库弄出来.
http tunnle也不行.
新的Windows 没有 at 只有wmic scthask.
你只有一个webshell你也交互不了.
自己也不是Administrator权限,提不了权,还有UAC最新的你也过不了.
你自己连不到域控; 出不来.
有变态的杀软,你传的exe可能会被限制.
http tunnle也不行.
你只有一个webshell你也交互不了.
你就一个User权限. 你要怎么在内网搞其他机器. 怎么在内网down 其它 Hash.
我:
对 你可以这么理解 哈哈哈
我:
这个简单的话语 总结得好
我:
能在理论上行得通这个的人 绝对是个好苗人 甚至是大牛.
肯定 对Windows 常用机制特性了解. 对Windows域也了解. 对网络环境也了解. 有经验.
点有点接近. 但是你两个问题要说.
1.你用什么东西去down 内网的hash.
2.简单说说你的思路,用什么方法 命令 或者工具.
3.怎么打包传输.
php 可以扫端口啊 有特定的端口可以去日 php可以get post socket.
有简单的协议redis mongo这些 或许可能搞搞.
访问内网应用信息file_get_contents最简单了.
这么严格的网络环境,你拿到的Shell肯定不是system权限.
1. 新建bat批处理;批处理不需要Administrator权限;没有UAC杀软限制.
2.批处理的内容用net use 连接猜密码. nbtstat -A ip 获取netbios信息.
3.直接copy 东西过来;或者copy东西过去都没问题. rar zip.vbs jar makecab\expand打包都没问题.
4.本地hash 直接reg sam reg system完美解决.
4.执行命令用wimexec 或者 schtasks 执行.
5.down hash用procdump.exe.
6.假如我连到了域控 vssown.vbs 或 vssadmin.exe能导出卷影
ShadowCopy.bat
http://drops.wooyun.org/tips/6617
vssadmin
https://www.91ri.org/4812.html
有administrator权限的话可以直接用powershell
http://drops.wooyun.org/tips/10181
我powershell不熟,不确定是否能改成自动化的
dmz全程webshell,发现有一个进程连接内网1433,逆向出密码,通过sa密码,进入数据库服务器。一句一句echo上传curl,访问内网tomcat,上传shell。